等保人员说 80 为高危端口,要求关闭 80 端口,说都是 https 用 443 就好,合理吗

149 天前
 logan66

第一次从等保人员口中听说 80 是高危端口; 我的理解是用户浏览器直接输入 网址浏览器默认是 http://; 普通用户不会 https://[网址] 这么输入的;

12192 次点击
所在节点    程序员
91 条回复
cybort
149 天前
就是忽悠你的
coldle
149 天前
好奇下,又关 80 端口又想初次访问也强制 https 的话,是不是只能把域名提交到 HSTS 列表了?
vaeee
149 天前
合理
caola
149 天前
除了国内那几个浏览器默认还是 http ,其他浏览器都是默认 https ,只有 https 不通时才降为 http
heyjei
149 天前
@logan66 要做等保的企业,肯定也有 waf 之类的吧,那就吧 80 关了呗,http 跳 https 的功能交给最前端的 waf 之类的去完成。何乐而不为?
leo72638
149 天前
你能拒绝等保吗?不能就按他的来吧
ZE3kr
149 天前
@geekvcn 禁用了服务器的 HTTP ,也一样可以劫持 HTTP
IvanLi127
149 天前
他说是就是。做等保是不需要考虑安全性的,有资质的机构说啥就是啥。然后买有资质的 waf ,在那上面用有资质的 80 端口做重定向。
duzhuo
149 天前
这不是 sb 吗,80 端口做 301 跳转不就得了
e3c78a97e0f8
149 天前
如果你不在 HSTS preload 列表里面,用户第一次访问 80 端口可以被劫持到别的网站上去,这是一个安全隐患。如果你没有 HSTS ,那后续访问 80 端口一样有这个风险。

这和有没有 redirect 没有关系,因为劫持在 redirect 前面。

这个风险具体有多大很难说,但是人家提出来了,你是没有办法合理的退回去的。直接照办就是了。

更何况现在没有几个用户是敲域名进网站的。
allenby
149 天前
@zzznow #12 不涉及登录,只展示 没啥问题的
villivateur
149 天前
如果你已经做了 80 端口 301 到 443 端口,那就是他们不懂装懂了,如果能喷他们的话,狠狠喷回去
devopsdogdog
149 天前
关闭就是了,等保的不懂,都是半桶水,百度还支持 ssl3 呢
miaotaizi
149 天前
做等保的不都是上游要求指定的机构吗??

让你干嘛就干嘛, 别逼逼
mangojiji
149 天前
如果真要关闭 80 ,可以考虑提交到`HSTS Preload List` 或者 看看 DNS 能不能支持到 SRV/HTTPS 记录。
hanierming
149 天前
等保基本上就是按照规定的条款一个一个测试,如果要求了就改吧
mangojiji
149 天前
@mangojiji 打错了,是 SrvB 记录。
dj721xHiAvbL11n0
148 天前
得 443 也别用了,直接自定义端口吧
Xs2y6914BljWqNfl
148 天前
让你干嘛就干嘛
billwang
148 天前
不是说了吗,让你用 18080 端口来提供服务的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1061657

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX