PDA

Zobacz pełną wersję : dostęp http przez numer ip



mirekjl
01-09-2023, 11:55
Dzień dobry. Mam stronę na Joomli zabezpieczoną https. Można również wejść na tę stronę poprzez numer IP, ale wtedy otwiera się jako strona http. Ja oczywiście będę się logował na zaplecze przez https, natomiast mam pytanie, czy taki dostęp do strony przez http jest bezpieczny? Czy coś tu zmienić?

rkonik
01-09-2023, 12:15
Musisz zdefiniować słowo bezpieczny. https nie oznacza bezpieczny a szyfrowane połączenie pomiędzy klientem a serwerem. Zawsze z poziomu serwera lub poprzez htacess możesz przekierować wszystkie połączenia http na https.

mirekjl
01-09-2023, 12:32
Chodzi mi o podatność na ewentualny atak hakerski na stronę http. Czy strona https jest trudniejsza do zhakowania niż strona http?

rkonik
01-09-2023, 12:48
Nie mieszajmy bezpieczeństwa strony jako witryny z protokołem komunikacyjnym. https oznacza że połączenie pomiędzy klientem a serwerem jest szyfrowane. Nie wchodząc w szczegóły i mówiąc prostym językiem nikt nie jest w stanie "podsłuchać" połączenia. Protokół https nie ma bezpośredniego przełożenia na bezpieczeństwo strony. Możesz mieć najdroższy certyfikat i niezabezpieczony formularz kontaktowy i haker znajdzie to i się włamie.
Wprowadzając protokół https bardziej dbasz o swoich klientów o ich bezpieczeństwo niż o stronę.

Wymuś z poziomu serwera (hostingu) przekierowanie wszystkich adresów http na https. Jeżeli twój hosting tego nie umożliwia to jest kiepskim hostingiem i wykonaj to za pomocą pliku .htacess

mirekjl
01-09-2023, 15:22
Dzwoniłem do hostingu, to jest kei.pl, i powiedziano mi, że może tak zostać, czyli http://numer_ip oraz https://nazwa_domeny. Powodem jest to, że niektóre instytucje zagraniczne identyfikują strony po numerze ip.

rkonik
01-09-2023, 15:54
Dzwoniłem do hostingu, to jest kei.pl, i powiedziano mi, że może tak zostać, czyli http://numer_ip oraz https://nazwa_domeny. Powodem jest to, że niektóre instytucje zagraniczne identyfikują strony po numerze ip.

Pewnie że może zostać. To jest tylko protokół gdzie jeden szyfruje a drugi nie szyfruje połączenia. również są sposoby ataku wykorzystujące sytuacje że strona jest dostępna po dwóch protokołach.
Generalnie różnica pomiędzy domeną a IP jest taka że domena jest dla ludzi a IP dla maszyn i identyfikują te maszyny w sieci.

W skrócie, HTTP i HTTPS to protokoły używane do przesyłania danych między twoją przeglądarką a serwerem internetowym. Różnica polega na tym, że HTTPS wprowadza warstwę szyfrowania, co czyni go bardziej bezpiecznym od HTTP, szczególnie w kontekście przesyłania poufnych danych. Dlatego zawsze warto korzystać z witryn internetowych dostępnych przez HTTPS, zwłaszcza podczas przekazywania poufnych informacji.

Frodoo
02-09-2023, 18:39
Można tutaj dodać jeszcze, że są darmowe certyfikaty ssl np. Let's Encrypt. Mam taki na hostingu w linux.pl. Powyłączałem sobie certyfikaty na stronach i same się odnawiają co 3 mies. W dodatku są darmowe to nie znaczy, że gorsze. Jedynie co to musze troszkę dopłacać co roku, ale za całość nie za pojedynczy certyfikat dla domeny jak to jest na niektórych hostingach. Taki certyfikat jeśli nie ma go na hostingu to można zainstalować ręcznie, ale chyba trzeba to robić co 3 miesiące. Tak było kiedyś nie wiem jak teraz.

rkonik
03-09-2023, 12:29
Można tutaj dodać jeszcze, że są darmowe certyfikaty ssl np. Let's Encrypt. Mam taki na hostingu w linux.pl. Powyłączałem sobie certyfikaty na stronach i same się odnawiają co 3 mies. W dodatku są darmowe to nie znaczy, że gorsze. Jedynie co to musze troszkę dopłacać co roku, ale za całość nie za pojedynczy certyfikat dla domeny jak to jest na niektórych hostingach. Taki certyfikat jeśli nie ma go na hostingu to można zainstalować ręcznie, ale chyba trzeba to robić co 3 miesiące. Tak było kiedyś nie wiem jak teraz.

Nie schodźmy z tematu. To jaki certyfikat posiadasz, skąd i ile kosztował akurat w temacie nic nie wnosi. Chodzi o protokół z warstwą szyfrującą lub brak i jaki to ma wpływ na bezpieczeństwo strony a bardziej na bezpieczeństwo użytkownika.