Это влияет на множество страниц с благодарностями из сторонних тележек и т. Д. Безопасны ли GET-запросы к HTTP, которые перенаправляются на HTTPS? Или их можно отследить до того, как произойдет перенаправление?
Спасибо
Так же безопасно, как переходить на HTTPS напрямую с HTTPS? Нет.
Безопаснее, чем без перенаправления? Да.
Вектор атаки при перенаправлении с HTTP на HTTPS заключается в том, что MITM может изменить перенаправление, чтобы вместо этого перенаправить пользователя на версию, отличную от HTTPS (также известный как удаление SSL или атака перехода на более раннюю версию HTTPS). Переход непосредственно на HTTPS (или переход туда со страницы HTTPS) полностью предотвратит это, но перенаправление пользователя со страницы, отличной от HTTPS, по-прежнему имеет следующие преимущества безопасности:
HSTS пытается решить эту проблему, но он все еще уязвим, если самый первый запрос, содержащий заголовок Strict-Transport-Security, выполняется по обычному протоколу HTTP.
До того, как появился https, это были простые HTTP-соединения через TCP. Да, его можно выследить, но действительно нелегко. Возможно, в большинстве таких случаев можно использовать небольшую подмену DNS.
Наивный шлюп был трудным, TCP имеет идентификатор сеанса, который, возможно, не очень длинный, но препятствует таким попыткам. AFAIK в таких случаях подмена DNS является жизнеспособной альтернативой.
В любом случае, это, безусловно, намного лучше, если бы перенаправления не существовало (выпадал бы посетитель, неспособный ввести «https» в адресной строке), а также гораздо лучше, если бы вместо перенаправления посетитель получил сайт, полностью свободный от шифрования.