การบล็อกการดาวน์โหลด HTTP แต่ไม่ใช่ HTTPS

มีเหตุผลด้านความปลอดภัยใด ๆ หรือไม่ที่ผู้ดูแลระบบเครือข่ายจะบล็อกการดาวน์โหลดผ่าน HTTP แต่อนุญาตผ่าน HTTPS หรือไม่

security http https

คุณแน่ใจหรือไม่ว่ากลไกการตรวจสอบแพ็คเก็ตที่ผู้ดูแลระบบเครือข่ายของคุณใช้นั้นสามารถตรวจพบการดาวน์โหลดผ่าน HTTP เท่านั้นไม่ใช่ HTTPS เนื่องจากการเข้ารหัสหรือไม่

— Rob Farr

@Rob Farr ค่อนข้างแน่ใจ มีนโยบายในการบล็อกการดาวน์โหลดผ่าน http แต่ไม่ใช่ Https ฉันแค่อยากจะเข้าใจเหตุผลที่อยู่เบื้องหลังเพราะมันดูเหมือนจะไม่จำเป็นและทำให้เกิดปัญหามากมาย

— user1450877

ผู้ดูแลระบบเครือข่ายพูดว่าอย่างไรเมื่อคุณถามพวกเขา

— เจนนี่ D

คุณอาจต้องการถามเรื่องนี้ที่security.stackexchange.com

— sebix

คำตอบ:

หากเราพูดถึงการดาวน์โหลดไฟล์แบบสแตติกโดยไม่มีการรับรองความถูกต้องความสามารถในการตรวจสอบความถูกต้องของข้อมูลเป็นเหตุผลหนึ่ง อย่างไรก็ตามการเข้ารหัสการเชื่อมต่อเป็นเพียงเครื่องมือเดียวที่คุณสามารถใช้ checksums เพื่อให้แน่ใจว่าข้อมูลไม่ได้ถูกแก้ไขระหว่างการส่ง

อย่างไรก็ตามการบล็อกการดาวน์โหลด HTTP ทั้งหมดจากที่ใดก็ได้จะทำให้เกิดปัญหามากกว่าที่จะแก้เนื่องจากเนื้อหาบางอย่างมีให้ใช้งานบน HTTP เท่านั้น จากมุมมองตรงข้ามเป็นเรื่องที่สมบูรณ์แบบที่จะให้การดาวน์โหลดผ่าน HTTPS เพื่อความสมบูรณ์ของข้อมูลเท่านั้นและยังช่วยปกป้องข้อมูลว่าใครดาวน์โหลดอะไรบ้าง

ในทางตรงกันข้ามการดาวน์โหลด HTTP มีข้อดีอย่างหนึ่งจากมุมมองของการบริหารเครือข่าย: คุณสามารถเรียกใช้การตรวจสอบไวรัส (และเนื้อหาอื่น ๆ ) กับไฟล์ในไฟร์วอลล์ / UTM ก่อนที่จะถึงคอมพิวเตอร์ไคลเอนต์ ด้วย HTTPS คุณจะต้องถอดรหัส TLS ก่อน ในทางเทคนิคนั้นจะเป็นการโจมตีแบบคนกลางในขณะที่มันมีจุดประสงค์ที่ชอบด้วยกฎหมาย

— Esa Jokinen
แหล่งที่มา

ฉันเห็นด้วยว่าการปิดกั้นการดาวน์โหลด http จะทำให้เกิดปัญหามากกว่าที่จะแก้ได้ แต่ด้วยความซื่อสัตย์คุณผิด ความสมบูรณ์จะไม่ตรวจสอบโดยอัตโนมัติ (ไม่ใช่ใน http และไม่อยู่ใน https) คุณสามารถตรวจสอบความถูกต้องด้วยตนเองด้วยการตรวจสอบ md5 หรือ sha บางส่วนหรือใช้ส่วนหัว http "เนื้อหา

— -MD5

แก้ไข. การใช้ HTTPS จะป้องกันการแก้ไขข้อมูลโดยเจตนาเท่านั้น

— Esa Jokinen

การดาวน์โหลด HTTP อาจมีข้อมูลคุกกี้การรับรองความถูกต้องในส่วนหัวของคำขอ วิธีนี้จะช่วยให้คนที่ดักเครือข่ายลักลอบใช้งานเซสชันซึ่งในบางกรณีแย่กว่าปล่อยให้ผู้โจมตีรู้ว่าใครกำลังดาวน์โหลดอะไรอยู่

— lungj

นั่นเป็นเหตุผลที่ฉันได้โดยไม่ต้องรับรองความถูกต้องใด ๆ :)

— Esa Jokinen

ยกเว้นว่าเครือข่ายกำลังกรอง / วางยาพิษ DNS และบล็อก DNS สาธารณะคุณยังสามารถเยี่ยมชมได้https://evil.example.com/StuxCry.exe.vbs

— Nick T

ฉันคิดว่าใช่มีสาเหตุบางประการที่การดาวน์โหลดผ่าน http อาจเป็นอันตรายได้

หากไม่มี https คุณสามารถทนทุกข์ทรมานจากการโจมตีของ Man-In-The ตรงกลาง
- เช่นมีคนพยายามดาวน์โหลดซอฟต์แวร์จากหน้าเว็บที่เชื่อถือได้ แต่เขากลับได้รับไฟล์ที่มีไวรัส
ไม่มี https คุณสามารถดู uris คำขอเต็มรูปแบบในปริมาณการใช้ http ของคุณด้วย https คุณจะเห็นเฉพาะโฮสต์เท่านั้น
หากคุณดาวน์โหลดจากหน้าเว็บที่มี http- เข้าสู่ระบบบางคนสามารถ "เห็น" ข้อมูลเข้าสู่ระบบของคุณเมื่อคุณไม่ได้ใช้ https

— Radon8472
แหล่งที่มา

-1

ฉันคิดว่าเนื่องจาก HTTPS เป็นข้อความเข้ารหัสและปกป้องเนื้อหาการดาวน์โหลดของคุณจากการดักฟังและแก้ไข

— Bin Yu
แหล่งที่มา