Толку-то от редиректа? URL и кукисы всё равно утекут по незащищённому каналу.

@kagami Чо? Ну вот например вбиваю в браузере bnw.im, оно идет на http://bnw.im, а сервер в ответ Location: https://bnw.im

@kurkuma Представь что ты залогинен на bnw, и у тебя не стоит флаг secure у кукисов. Тебе дали ссылку на http://bnw.im/hui/pizda/secret_place/kurkuma, браузер коннектится к bnw.im на 80-ый порт, шлёт кукисы и полный юрл по http. Уже похуй, что тебе там ответил сервер, всё уже спалилось.

@kagami Смотри. Не делаем вообще http-версию. Только https. Вместо http-версии скрипт, который header('Location: https://bnw.im'.$_SERVER['REQUEST_URI']); или эквивалент на другом яп то есть, http-версии вообще нет как бы

@kurkuma И что? Ты вообще знаешь как устроен http? Соединение устанавливается, браузер шлёт HTTP request. Сервер отвечает HTTP response.

@kagami И в этот HTTP response пихаем заголовок Location с этим же запрошенным адресом, только на https. То есть, по http на сайт вообще зайти никак нельзя, всегда перебрасывает на https, юзеры тоже не скопируют http ссылку, потому что скопируют ее с https версии

@kurkuma Я имел ввиду, что ссылку тебе даст не сервер, а злоумышленник. Иначе зачем тебе вообще редирект?

@kagami ну с https версии куки будут приходить с secure, разумеется. редирект для того, чтобы все пользователи юзали https независимо от того, стоит у них httpseverywhere или нет. как например на поинте сейчас, только там не редирект, а просто все внутренние ссылки всегда ведут на https

@kurkuma Вообще, я таким образом просто реквестирую минусы этого подхода. Просто думаю делать так в своих проектах -- принудительно редиректить юзеров на https

@kurkuma Я ж сказал, что если secure нет. Есть он далеко не всегда. Но так в любом случае будет палиться полный юрл. И POST-запрос можно легко поймать, используя какой-нибудь SSL strip. С https everywhere браузер тупо вообще не пойдёт на http-версию. >редирект для того, чтобы все пользователи юзали https независимо от того, стоит у них httpseverywhere или нет И нафиг тут редирект? Просто не слушаем на 80-ом порту и всего делов. Редирект ставят если в настройках надо менять всегда https/не всегда. Или если в сети уже куча ссылок на http-версию. Если изначально https, то как бы нафиг и не надо, разве что для тех, кто набирает адрес сайта вручную, а таких очень мало.

@kurkuma Лучше вообще на 80-ом не слушать, тогда соединение не установится и браузер физически ничего передать не сможет.

@kagami > кто набирает адрес сайта вручную, а таких очень мало я лол

@kagami а если браузер не сможет по 80, он пойдет на ссл-порт или высрет ошибку?

@kurkuma Ошибку.

@kagami тогда говно

@kurkuma Набирай https://сайт.ком, в чём проблема?

@kagami лень

@kurkuma Ну сделай правило в своём ноускрипте тогда, лол.

@kagami ну я могу в носкрипт добавить домен и тогда он будет принудительно коннектиться прямо на https и никак иначе, но это не искоробочно же

@kurkuma А как ты хочешь искоробочно, лол? Тебе же уже сто раз объяснили, что редирект это хуйня.

@kagami Нет не объяснили

@kagami Хочу, короче, чтобы все юзеры на моем сайте сидели только через https

@kurkuma Значит ты тупой. Можешь не переживать о безопасности — всё равно не поможет.

@kurkuma Сделай только https версию, в чём проблема?

@kagami Давай объясни мне, в чем проблема с безопасностью будет ИЗ-ЗА наличия редиректа. Не http-версии, а именно редиректа.

@kagami По заходу на домен будет ошибка -> говно. Короч, вешаю на http редирект и мне похуй.

@kurkuma Он никак не помогает с точки зрения безопасности. Просто финтифлюшка сбоку.

@kurkuma Enjoy your sslstrip.

@kagami Оно поможет в той мере, что теперь все будут сидеть https принудительно.

@kurkuma Не будут. Простейший sslstrip и вот уже всё утекло, внезапно.

@kagami Стоп, как браузер узнает, что http нету, а только https? Вот есть сает porno.com, у него нет http, только https. Секур у кук проебали (а если не проебали, то тогда в чем проблема?), злоумышленник дает ссылку на http://porno.com. Пользователь кликает, браузер отправляет запрос вместе с куками, но ответ не получает, так как 80 порт закрыт. Злоумышленник посередине пиздит куки из запроса, ему норм. Так?

@kurkuma Ну, если ему подменяют сайт на 80-ом порту, то да. Но это только если юзер специально вводит http. (Хотя можно и https-сессиию блокировать, но это палевно.) А редирект приучает к неосмотрительному поведению и набиранию именно http.

@kagami Но в чем проблема давать secure куки, это же решает все проблемы.

@kurkuma Хм, в самом деле, кажется никакой. Я просто не подумал что злоумышленник может сам сайт поднять. Надо ещё подумать.