等保人员说 80 为高危端口,要求关闭 80 端口,说都是 https 用 443 就好,合理吗

148 天前
 logan66

第一次从等保人员口中听说 80 是高危端口; 我的理解是用户浏览器直接输入 网址浏览器默认是 http://; 普通用户不会 https://[网址] 这么输入的;

12186 次点击
所在节点    程序员
91 条回复
geekvcn
148 天前
开 HTTPS 不禁用 HTTP 等于没开,想想你用户访问 HTTP 的时候就被劫持了,还能到跳转那步吗?所以现代主流浏览器都是先访问 HTTPS 不行再回退 443
geekvcn
148 天前
@geekvcn 回退 80 ,说错了
huzhizhao
148 天前
你都做等保了,
肯定是说啥是啥啦,先整改再说吧
jonzhao
148 天前
同样,最近在过 ISO27001:2022, ACL 开了 any - any 80/443, 也被揪出来了.
shyangs
148 天前
最新版 chrome (網址列)預設 HTTPS , 是你理解錯了.
opengps
148 天前
80 端口走 http ,当然数据不够可信,说成是高危端口其实也不为过,但一般会选择自动从 http 跳转 https ,这种跳转有的是用开着端口配置 web 服务跳转的,这种方式关闭就等同于 http 自动跳转 https 不可用了
salmon5
148 天前
等等?等保人员说的是:业务跑在 80 端口上吧,没有强制使用 https 。
别混淆概念了。
80 强制跳转 443 ,443 开启 HSTS ,应该没问题。
lisongeee
148 天前
现在都是 80 端口开 http 服务,然后全部 301 重定向到 https 页面

你不开,如果浏览器有自动升级 https 还好,没有的话用户打开就是不能访问
jonzhao
148 天前
@jonzhao outbound, 访问外网 80 口.
salmon5
148 天前
ssl 443 端口添加:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
这样就没问题了。
logan66
148 天前
我们这边 nginx 做了 80 http 强制跳转 443 https 的,还是要求关 80 端口
yy77
148 天前
80 代表着没有用 https ,那么登录的密码什么的就都是明码传送的。即使抛开这样的漏洞不说,没有证书,也容易让人制造假的网站而无法验证。
所以现在的大趋势是尽可能使用 https 加证书,至少登录画面等有机密信息的部分要得是 https 的吧。
defunct9
148 天前
等保人员说 root 不行,得改名。
julyclyde
148 天前
俩人都挺水的

等级保护那帮人基本就是行业挑剩下的人吧,懂点技术,但又不怎么懂技术

http 明文不 SSL ,容易被窃听,但是等级保护关注的难道不是攻击么?
浏览器默认都 https ;默认 http 的时代已经过去了
kkk1234567
148 天前
难道以为雇用了登保测评机构,自己就是甲方了?
Podul
148 天前
这样 https://xxxx.xxxx:80 就安全多了
forvvvv123
148 天前
让你改你就改嘛,国家标准; 跟老板说,可以让老板决定不改,就扣分嘛
@logan66
TimPeake
148 天前
开车很危险,都步行去吧
pkoukk
148 天前
不合理的事情多了去了,改吧
jifengg
148 天前
@julyclyde “等级保护关注的难道不是攻击么”

“等保”,不仅关注攻击,还要关注数据安全。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1061657

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX