第一次从等保人员口中听说 80 是高危端口; 我的理解是用户浏览器直接输入 网址浏览器默认是 http://; 普通用户不会 https://[网址] 这么输入的;
1
Mrun 142 天前
把域名提交到 HSTS 列表呗
|
2
deplives 142 天前
chrome 默认会跳 https 吧
|
3
yyzh 142 天前 via Android
有 HSTS.当然有些浏览器会帮你先尝试 hhtps 不行再自动回退 http.
当然 80 危不危取决于你在上面跑的什么.网站的话没 ssl 是挺危 |
4
cccn 142 天前
合理
|
5
yuuko 142 天前
现代浏览器应该是默认 https
|
6
zed1018 142 天前
要不怎么说是外包的狂欢节呢
|
7
Wien 142 天前
高危端口意思就是容易被扫。https 就用 443 没毛病。
|
8
zwy100e72 142 天前
普通用户不会输入网址的,会百度搜索的都应该叫资深用户了(逃
80 端口 http 个人认为还是有用的,应该做 301 跳转引导用户转向到 https 站点,至于你们这边行业内的情况,我个人不了解,也无法给出建议 |
9
andytao 142 天前
有 HTTPS (443) 的情况下,说 80 端口是高危端口没毛病。
|
10
justNoBody 142 天前
改了吧,没必要去争这个事儿。如果以后有人问起为什么一定要输入 https ,你就告诉他等保规定就可以了。虽然直接输入地址很多浏览器默认就是 https
|
11
lucasj 142 天前
禁用了 80 端口,只能在服务器上自己弄 HTTPS 证书了。
有些服务商,如 cloudflare 直接给你域名 HTTPS ,不需要自己弄,监听 80 就行。 |
12
zzznow 142 天前
个人认为 80 不算高危端口,取决于网站提供的服务。http 是因为明文传输,所以不安全。
|
13
forvvvv123 142 天前
“高危端口” 没有个金标准的说法其实,一般“高危端口”是指一些服务的默认端口,开放到大范围的网络上容易招致大量扫描和无差异攻击的,比如 22 3306 ;
他让你改这个也算合理的,现在不应该用 http 了,毕竟那个通信是明文,不要纠结说法了 |
14
yikyo 142 天前
等保很烦,但是这个没得说,你怕用户不会输,做个重定向
|
15
liubaicai 142 天前
等保一般不都是 tob 业务吗?这种业务不就是领导说啥是啥么,他说 80 高危你给关了就行,至于用户体验又不重要。
|
16
dyllen 142 天前
等保是什么岗位?
|
17
wu67 142 天前
端口不是高危, 但是跑在这个端口的服务可能高危. 你能用 80, 说明大概率没上 tls...我不信有人搞了 https 还特地用 80 端口.
搞个证书这也没多大的成本吧, 没必要偷懒成这样, 尤其你们这种业务, 等保的来找你了, 肯定是存了用户信息这种敏感数据, 不然人家才懒得理你. |
19
cheng6563 142 天前
禁了 80 跳转都调不了,用户打开你网址很有可能直接卡主打不开了。
|
20
falcon05 142 天前 via iPhone
高危端口是这个标准吗
|
21
geekvcn 142 天前 5
开 HTTPS 不禁用 HTTP 等于没开,想想你用户访问 HTTP 的时候就被劫持了,还能到跳转那步吗?所以现代主流浏览器都是先访问 HTTPS 不行再回退 443
|
23
huzhizhao 142 天前 1
你都做等保了,
肯定是说啥是啥啦,先整改再说吧 |
24
jonzhao 142 天前
同样,最近在过 ISO27001:2022, ACL 开了 any - any 80/443, 也被揪出来了.
|
25
shyangs 142 天前
最新版 chrome (網址列)預設 HTTPS , 是你理解錯了.
|
26
opengps 142 天前
80 端口走 http ,当然数据不够可信,说成是高危端口其实也不为过,但一般会选择自动从 http 跳转 https ,这种跳转有的是用开着端口配置 web 服务跳转的,这种方式关闭就等同于 http 自动跳转 https 不可用了
|
27
salmon5 142 天前
等等?等保人员说的是:业务跑在 80 端口上吧,没有强制使用 https 。
别混淆概念了。 80 强制跳转 443 ,443 开启 HSTS ,应该没问题。 |
28
lisongeee 142 天前
现在都是 80 端口开 http 服务,然后全部 301 重定向到 https 页面
你不开,如果浏览器有自动升级 https 还好,没有的话用户打开就是不能访问 |
30
salmon5 142 天前 1
ssl 443 端口添加:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; 这样就没问题了。 |
31
logan66 OP 我们这边 nginx 做了 80 http 强制跳转 443 https 的,还是要求关 80 端口
|
32
yy77 142 天前
80 代表着没有用 https ,那么登录的密码什么的就都是明码传送的。即使抛开这样的漏洞不说,没有证书,也容易让人制造假的网站而无法验证。
所以现在的大趋势是尽可能使用 https 加证书,至少登录画面等有机密信息的部分要得是 https 的吧。 |
33
defunct9 142 天前 4
等保人员说 root 不行,得改名。
|
34
julyclyde 142 天前
俩人都挺水的
等级保护那帮人基本就是行业挑剩下的人吧,懂点技术,但又不怎么懂技术 http 明文不 SSL ,容易被窃听,但是等级保护关注的难道不是攻击么? 浏览器默认都 https ;默认 http 的时代已经过去了 |
35
kkk1234567 142 天前
难道以为雇用了登保测评机构,自己就是甲方了?
|
36
Podul 142 天前 1
这样 https://xxxx.xxxx:80 就安全多了
|
37
forvvvv123 142 天前
让你改你就改嘛,国家标准; 跟老板说,可以让老板决定不改,就扣分嘛
@logan66 |
38
TimPeake 142 天前
|
39
pkoukk 142 天前
不合理的事情多了去了,改吧
|
41
cybort 142 天前 via Android
就是忽悠你的
|
42
coldle 142 天前 via Android 1
好奇下,又关 80 端口又想初次访问也强制 https 的话,是不是只能把域名提交到 HSTS 列表了?
|
43
vaeee 142 天前
合理
|
44
caola 142 天前
除了国内那几个浏览器默认还是 http ,其他浏览器都是默认 https ,只有 https 不通时才降为 http
|
46
leo72638 142 天前 via iPhone
你能拒绝等保吗?不能就按他的来吧
|
48
IvanLi127 142 天前 1
他说是就是。做等保是不需要考虑安全性的,有资质的机构说啥就是啥。然后买有资质的 waf ,在那上面用有资质的 80 端口做重定向。
|
49
duzhuo 142 天前
这不是 sb 吗,80 端口做 301 跳转不就得了
|
50
e3c78a97e0f8 142 天前 2
如果你不在 HSTS preload 列表里面,用户第一次访问 80 端口可以被劫持到别的网站上去,这是一个安全隐患。如果你没有 HSTS ,那后续访问 80 端口一样有这个风险。
这和有没有 redirect 没有关系,因为劫持在 redirect 前面。 这个风险具体有多大很难说,但是人家提出来了,你是没有办法合理的退回去的。直接照办就是了。 更何况现在没有几个用户是敲域名进网站的。 |
52
villivateur 142 天前 1
如果你已经做了 80 端口 301 到 443 端口,那就是他们不懂装懂了,如果能喷他们的话,狠狠喷回去
|
53
devopsdogdog 142 天前 via Android
关闭就是了,等保的不懂,都是半桶水,百度还支持 ssl3 呢
|
54
miaotaizi 142 天前
做等保的不都是上游要求指定的机构吗??
让你干嘛就干嘛, 别逼逼 |
55
mangojiji 142 天前
如果真要关闭 80 ,可以考虑提交到`HSTS Preload List` 或者 看看 DNS 能不能支持到 SRV/HTTPS 记录。
|
56
hanierming 142 天前
等保基本上就是按照规定的条款一个一个测试,如果要求了就改吧
|
58
dj721xHiAvbL11n0 142 天前
得 443 也别用了,直接自定义端口吧
|
59
Xs2y6914BljWqNfl 142 天前 2
让你干嘛就干嘛
|
60
billwang 142 天前
不是说了吗,让你用 18080 端口来提供服务的。
|
61
mingsz 142 天前
我建议不启用任何端口
|
62
Sfilata 142 天前
普通人输网址顶多从 www 开始,没有人会直接输 http:// 的,所以如果有 https 了关闭 80 端口是合理的,反正也没用
|
63
kuaner 142 天前
合理
|
64
635925926 142 天前
瞎扯,普通用户根本不会输入网址,只会从微信或者其他地方复制链接,保存书签。
|
65
nt0p 142 天前 4
在座说高危的老哥,想必都看不上这些公司吧?
端口和高危不高危有啥关系? 如果 80 端口高危的话,那我用嘴呼吸也是高危咯? macbook ~ % curl -s -I http://baidu.com | grep HTTP HTTP/1.1 200 OK macbook ~ % curl -s -I http://jd.com | grep HTTP HTTP/1.1 301 Moved Permanently macbook ~ % curl -s -I http://taobao.com | grep HTTP HTTP/1.1 301 Moved Permanently X-protocol: HTTP/1.1 macbook ~ % curl -s -I http://qq.com | grep HTTP HTTP/1.1 302 Moved Temporarily macbook ~ % curl -s -I http://weibo.com | grep HTTP HTTP/1.1 301 Moved Permanently macbook:~ curl -s -I http://google.com | grep HTTP HTTP/1.1 301 Moved Permanently macbook:~ curl -s -I http://apple.com | grep HTTP HTTP/1.1 301 Redirect macbook:~ curl -s -I http://www.amazon.com | grep HTTP HTTP/1.1 301 Moved Permanently macbook:~ curl -s -I http://www.facebook.com | grep HTTP HTTP/1.1 301 Moved Permanently macbook:~ curl -s -I http://www.microsoft.com | grep HTTP HTTP/1.1 200 OK |
68
YILSLIN 142 天前
Chrome 将为所有用户默认启用 HTTPS-first
https://www.oschina.net/news/254271/chrome-to-enable-https-first-by-default |
69
proxychains 142 天前 1
return 301 https://xx.com/$request_uri 不就行了吗...
|
70
sampeng 142 天前
都没说到点子上。
等保让你干啥你就干啥。不需要过脑子。 |
71
cookii 142 天前 1
@Podul 戳啦! 443 端口更安全 http://example.com:443
|
72
ffyyhh 142 天前
非常合理
|
73
studyrun 142 天前 1
别说是 80 了,我们之前遇到一家等保,连 443 都列为高危端口,最后改成了 https://xxx.cn:4433/ (具体多少忘了,反正是 4 位数的)
|
74
zhwq 142 天前
那假如我在 80 端口开 ssl ,443 端口跑明文咋说呢?
|
75
leconio 142 天前 via iPhone
懒政说法,高危的是明文传输,不是端口。一棒子打死 80 端口
|
76
solopython 142 天前
我们等保前端容器都要加防篡改
|
78
Paulownia 141 天前 1
同意上面的等保让干啥就干啥。但测评的人水平确实很一般,关注互联网上 80 端口更多的原因是传输未加密,存在被窃取风险,但是也得看看网站具体啥内容呢,上来就说 80 端口是高危端口不是耍流氓么
|
79
skyrim61 141 天前
人家虽然不专业, 但是人家掌握标准的定义 doge
|
80
IMengXin 141 天前
那个,政府的说 443 也是高危端口不给开,最后开了个 5443🐶
|
81
yankebupt 141 天前
按理说都早该上 ipv6 quic http/2 了,443 都上个世纪的事了,80 太老了,让关也算没有太不正常吧……
|
82
Clannad0708 141 天前
@Wien 小肚皮?
|
83
qinxi 141 天前
nginx 80 改成 443 万事儿.
用户这样访问 http://a.b:443 反正他说 443 安全😂 |
84
dreamingclj 141 天前
zf 项目,把 443 和 80 都关了。。
|
85
flyshu 141 天前
你好善良 ,和等保人员有什么好争执的
|
86
VonLea 141 天前 1
|
87
mritd 141 天前
让你关你就关, 这种事情他们来了让怎么搞就怎么搞, 事情做过去就行了. 没让你改 root 用户名就不错了...
|
88
mritd 141 天前 1
等保这种东西, 你不要去考虑合理还是不合理; 因为不管是否合理, 你要过等保肯定是 “带有强制性或者说刚需的”, 他不让你过的话, 你合理不合理都没意义.
如果说你知道一些安全实践或者说你作为一个 IT 从业者知道有一些东西应该怎么做, 而且能确认并控制风险, 再不济就是等完事了自己改回来就是了. 你就想国密改造, 让你们企业买设备、搞加密, 最后用户浏览器都要收费才能支持, 你想想合理么? 但是文发出来, 你们公司想在这行混那就得弄, 你就是买个加密记放机房吃灰你也得上, 合理不合理不是你说的算的. |
89
ResponseBody 141 天前
他说的高危是对谁而言?对公司而言那不对,对用户而言那是对的。
|
90
yulgang 141 天前
钱没给到位啊,配合检查,走了再开。
|
91
zlowly 141 天前 1
虽然但是啊,既然是等保要求,那就关闭 80 端口吧,80 端口有非开不可的理由吗?
安全的话还是那个道理,做了可能没啥用,但是出事的时候可能就是你裤裆里的黄泥。除非你们 KPI 跟开端口的数量挂钩。 |