V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
logan66
V2EX  ›  程序员

等保人员说 80 为高危端口,要求关闭 80 端口,说都是 https 用 443 就好,合理吗

  •  1
     
  •   logan66 · 142 天前 · 12121 次点击
    这是一个创建于 142 天前的主题,其中的信息可能已经有所发展或是发生改变。

    第一次从等保人员口中听说 80 是高危端口; 我的理解是用户浏览器直接输入 网址浏览器默认是 http://; 普通用户不会 https://[网址] 这么输入的;

    第 1 条附言  ·  142 天前
    我们这边 nginx 做了 80 http 强制跳转 443 https 的,还是要求关 80 端口
    91 条回复    2024-08-02 22:12:59 +08:00
    Mrun
        1
    Mrun  
       142 天前
    把域名提交到 HSTS 列表呗
    deplives
        2
    deplives  
       142 天前
    chrome 默认会跳 https 吧
    yyzh
        3
    yyzh  
       142 天前 via Android
    有 HSTS.当然有些浏览器会帮你先尝试 hhtps 不行再自动回退 http.
    当然 80 危不危取决于你在上面跑的什么.网站的话没 ssl 是挺危
    cccn
        4
    cccn  
       142 天前
    合理
    yuuko
        5
    yuuko  
       142 天前
    现代浏览器应该是默认 https
    zed1018
        6
    zed1018  
       142 天前
    要不怎么说是外包的狂欢节呢
    Wien
        7
    Wien  
       142 天前
    高危端口意思就是容易被扫。https 就用 443 没毛病。
    zwy100e72
        8
    zwy100e72  
       142 天前
    普通用户不会输入网址的,会百度搜索的都应该叫资深用户了(逃

    80 端口 http 个人认为还是有用的,应该做 301 跳转引导用户转向到 https 站点,至于你们这边行业内的情况,我个人不了解,也无法给出建议
    andytao
        9
    andytao  
       142 天前
    有 HTTPS (443) 的情况下,说 80 端口是高危端口没毛病。
    justNoBody
        10
    justNoBody  
       142 天前
    改了吧,没必要去争这个事儿。如果以后有人问起为什么一定要输入 https ,你就告诉他等保规定就可以了。虽然直接输入地址很多浏览器默认就是 https
    lucasj
        11
    lucasj  
       142 天前
    禁用了 80 端口,只能在服务器上自己弄 HTTPS 证书了。

    有些服务商,如 cloudflare 直接给你域名 HTTPS ,不需要自己弄,监听 80 就行。
    zzznow
        12
    zzznow  
       142 天前
    个人认为 80 不算高危端口,取决于网站提供的服务。http 是因为明文传输,所以不安全。
    forvvvv123
        13
    forvvvv123  
       142 天前
    “高危端口” 没有个金标准的说法其实,一般“高危端口”是指一些服务的默认端口,开放到大范围的网络上容易招致大量扫描和无差异攻击的,比如 22 3306 ;

    他让你改这个也算合理的,现在不应该用 http 了,毕竟那个通信是明文,不要纠结说法了
    yikyo
        14
    yikyo  
       142 天前
    等保很烦,但是这个没得说,你怕用户不会输,做个重定向
    liubaicai
        15
    liubaicai  
       142 天前
    等保一般不都是 tob 业务吗?这种业务不就是领导说啥是啥么,他说 80 高危你给关了就行,至于用户体验又不重要。
    dyllen
        16
    dyllen  
       142 天前
    等保是什么岗位?
    wu67
        17
    wu67  
       142 天前
    端口不是高危, 但是跑在这个端口的服务可能高危. 你能用 80, 说明大概率没上 tls...我不信有人搞了 https 还特地用 80 端口.

    搞个证书这也没多大的成本吧, 没必要偷懒成这样, 尤其你们这种业务, 等保的来找你了, 肯定是存了用户信息这种敏感数据, 不然人家才懒得理你.
    wu67
        18
    wu67  
       142 天前
    @dyllen 要求涉敏业务的公司/团队做信息安全防护的.
    cheng6563
        19
    cheng6563  
       142 天前
    禁了 80 跳转都调不了,用户打开你网址很有可能直接卡主打不开了。
    falcon05
        20
    falcon05  
       142 天前 via iPhone
    高危端口是这个标准吗
    geekvcn
        21
    geekvcn  
       142 天前   ❤️ 5
    开 HTTPS 不禁用 HTTP 等于没开,想想你用户访问 HTTP 的时候就被劫持了,还能到跳转那步吗?所以现代主流浏览器都是先访问 HTTPS 不行再回退 443
    geekvcn
        22
    geekvcn  
       142 天前
    @geekvcn 回退 80 ,说错了
    huzhizhao
        23
    huzhizhao  
       142 天前   ❤️ 1
    你都做等保了,
    肯定是说啥是啥啦,先整改再说吧
    jonzhao
        24
    jonzhao  
       142 天前
    同样,最近在过 ISO27001:2022, ACL 开了 any - any 80/443, 也被揪出来了.
    shyangs
        25
    shyangs  
       142 天前
    最新版 chrome (網址列)預設 HTTPS , 是你理解錯了.
    opengps
        26
    opengps  
       142 天前
    80 端口走 http ,当然数据不够可信,说成是高危端口其实也不为过,但一般会选择自动从 http 跳转 https ,这种跳转有的是用开着端口配置 web 服务跳转的,这种方式关闭就等同于 http 自动跳转 https 不可用了
    salmon5
        27
    salmon5  
       142 天前
    等等?等保人员说的是:业务跑在 80 端口上吧,没有强制使用 https 。
    别混淆概念了。
    80 强制跳转 443 ,443 开启 HSTS ,应该没问题。
    lisongeee
        28
    lisongeee  
       142 天前
    现在都是 80 端口开 http 服务,然后全部 301 重定向到 https 页面

    你不开,如果浏览器有自动升级 https 还好,没有的话用户打开就是不能访问
    jonzhao
        29
    jonzhao  
       142 天前
    @jonzhao outbound, 访问外网 80 口.
    salmon5
        30
    salmon5  
       142 天前   ❤️ 1
    ssl 443 端口添加:
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    这样就没问题了。
    logan66
        31
    logan66  
    OP
       142 天前
    我们这边 nginx 做了 80 http 强制跳转 443 https 的,还是要求关 80 端口
    yy77
        32
    yy77  
       142 天前
    80 代表着没有用 https ,那么登录的密码什么的就都是明码传送的。即使抛开这样的漏洞不说,没有证书,也容易让人制造假的网站而无法验证。
    所以现在的大趋势是尽可能使用 https 加证书,至少登录画面等有机密信息的部分要得是 https 的吧。
    defunct9
        33
    defunct9  
       142 天前   ❤️ 4
    等保人员说 root 不行,得改名。
    julyclyde
        34
    julyclyde  
       142 天前
    俩人都挺水的

    等级保护那帮人基本就是行业挑剩下的人吧,懂点技术,但又不怎么懂技术

    http 明文不 SSL ,容易被窃听,但是等级保护关注的难道不是攻击么?
    浏览器默认都 https ;默认 http 的时代已经过去了
    kkk1234567
        35
    kkk1234567  
       142 天前
    难道以为雇用了登保测评机构,自己就是甲方了?
    Podul
        36
    Podul  
       142 天前   ❤️ 1
    这样 https://xxxx.xxxx:80 就安全多了
    forvvvv123
        37
    forvvvv123  
       142 天前
    让你改你就改嘛,国家标准; 跟老板说,可以让老板决定不改,就扣分嘛
    @logan66
    TimPeake
        38
    TimPeake  
       142 天前
    开车很危险,都步行去吧
    pkoukk
        39
    pkoukk  
       142 天前
    不合理的事情多了去了,改吧
    jifengg
        40
    jifengg  
       142 天前
    @julyclyde “等级保护关注的难道不是攻击么”

    “等保”,不仅关注攻击,还要关注数据安全。
    cybort
        41
    cybort  
       142 天前 via Android
    就是忽悠你的
    coldle
        42
    coldle  
       142 天前 via Android   ❤️ 1
    好奇下,又关 80 端口又想初次访问也强制 https 的话,是不是只能把域名提交到 HSTS 列表了?
    vaeee
        43
    vaeee  
       142 天前
    合理
    caola
        44
    caola  
       142 天前
    除了国内那几个浏览器默认还是 http ,其他浏览器都是默认 https ,只有 https 不通时才降为 http
    heyjei
        45
    heyjei  
       142 天前
    @logan66 要做等保的企业,肯定也有 waf 之类的吧,那就吧 80 关了呗,http 跳 https 的功能交给最前端的 waf 之类的去完成。何乐而不为?
    leo72638
        46
    leo72638  
       142 天前 via iPhone
    你能拒绝等保吗?不能就按他的来吧
    ZE3kr
        47
    ZE3kr  
       142 天前   ❤️ 1
    @geekvcn 禁用了服务器的 HTTP ,也一样可以劫持 HTTP
    IvanLi127
        48
    IvanLi127  
       142 天前   ❤️ 1
    他说是就是。做等保是不需要考虑安全性的,有资质的机构说啥就是啥。然后买有资质的 waf ,在那上面用有资质的 80 端口做重定向。
    duzhuo
        49
    duzhuo  
       142 天前
    这不是 sb 吗,80 端口做 301 跳转不就得了
    e3c78a97e0f8
        50
    e3c78a97e0f8  
       142 天前   ❤️ 2
    如果你不在 HSTS preload 列表里面,用户第一次访问 80 端口可以被劫持到别的网站上去,这是一个安全隐患。如果你没有 HSTS ,那后续访问 80 端口一样有这个风险。

    这和有没有 redirect 没有关系,因为劫持在 redirect 前面。

    这个风险具体有多大很难说,但是人家提出来了,你是没有办法合理的退回去的。直接照办就是了。

    更何况现在没有几个用户是敲域名进网站的。
    allenby
        51
    allenby  
       142 天前 via Android
    @zzznow #12 不涉及登录,只展示 没啥问题的
    villivateur
        52
    villivateur  
       142 天前   ❤️ 1
    如果你已经做了 80 端口 301 到 443 端口,那就是他们不懂装懂了,如果能喷他们的话,狠狠喷回去
    devopsdogdog
        53
    devopsdogdog  
       142 天前 via Android
    关闭就是了,等保的不懂,都是半桶水,百度还支持 ssl3 呢
    miaotaizi
        54
    miaotaizi  
       142 天前
    做等保的不都是上游要求指定的机构吗??

    让你干嘛就干嘛, 别逼逼
    mangojiji
        55
    mangojiji  
       142 天前
    如果真要关闭 80 ,可以考虑提交到`HSTS Preload List` 或者 看看 DNS 能不能支持到 SRV/HTTPS 记录。
    hanierming
        56
    hanierming  
       142 天前
    等保基本上就是按照规定的条款一个一个测试,如果要求了就改吧
    mangojiji
        57
    mangojiji  
       142 天前
    @mangojiji 打错了,是 SrvB 记录。
    dj721xHiAvbL11n0
        58
    dj721xHiAvbL11n0  
       142 天前
    得 443 也别用了,直接自定义端口吧
    Xs2y6914BljWqNfl
        59
    Xs2y6914BljWqNfl  
       142 天前   ❤️ 2
    让你干嘛就干嘛
    billwang
        60
    billwang  
       142 天前
    不是说了吗,让你用 18080 端口来提供服务的。
    mingsz
        61
    mingsz  
       142 天前
    我建议不启用任何端口
    Sfilata
        62
    Sfilata  
       142 天前
    普通人输网址顶多从 www 开始,没有人会直接输 http:// 的,所以如果有 https 了关闭 80 端口是合理的,反正也没用
    kuaner
        63
    kuaner  
       142 天前
    合理
    635925926
        64
    635925926  
       142 天前
    瞎扯,普通用户根本不会输入网址,只会从微信或者其他地方复制链接,保存书签。
    nt0p
        65
    nt0p  
       142 天前   ❤️ 4
    在座说高危的老哥,想必都看不上这些公司吧?

    端口和高危不高危有啥关系? 如果 80 端口高危的话,那我用嘴呼吸也是高危咯?

    macbook ~ % curl -s -I http://baidu.com | grep HTTP
    HTTP/1.1 200 OK
    macbook ~ % curl -s -I http://jd.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    macbook ~ % curl -s -I http://taobao.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    X-protocol: HTTP/1.1
    macbook ~ % curl -s -I http://qq.com | grep HTTP
    HTTP/1.1 302 Moved Temporarily
    macbook ~ % curl -s -I http://weibo.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    macbook:~ curl -s -I http://google.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    macbook:~ curl -s -I http://apple.com | grep HTTP
    HTTP/1.1 301 Redirect
    macbook:~ curl -s -I http://www.amazon.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    macbook:~ curl -s -I http://www.facebook.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    macbook:~ curl -s -I http://www.microsoft.com | grep HTTP
    HTTP/1.1 200 OK
    txydhr
        66
    txydhr  
       142 天前 via iPhone
    @yyzh HSTS 不会回退,是直接无法打开网页
    txydhr
        67
    txydhr  
       142 天前 via iPhone
    @zzznow 我也觉得,80 不安全是对于传输内容而言,不是服务器安全
    YILSLIN
        68
    YILSLIN  
       142 天前
    proxychains
        69
    proxychains  
       142 天前   ❤️ 1
    return 301 https://xx.com/$request_uri 不就行了吗...
    sampeng
        70
    sampeng  
       142 天前
    都没说到点子上。
    等保让你干啥你就干啥。不需要过脑子。
    cookii
        71
    cookii  
       142 天前   ❤️ 1
    @Podul 戳啦! 443 端口更安全 http://example.com:443
    ffyyhh
        72
    ffyyhh  
       142 天前
    非常合理
    studyrun
        73
    studyrun  
       142 天前   ❤️ 1
    别说是 80 了,我们之前遇到一家等保,连 443 都列为高危端口,最后改成了 https://xxx.cn:4433/ (具体多少忘了,反正是 4 位数的)
    zhwq
        74
    zhwq  
       142 天前
    那假如我在 80 端口开 ssl ,443 端口跑明文咋说呢?
    leconio
        75
    leconio  
       142 天前 via iPhone
    懒政说法,高危的是明文传输,不是端口。一棒子打死 80 端口
    solopython
        76
    solopython  
       142 天前
    我们等保前端容器都要加防篡改
    amrice
        77
    amrice  
       142 天前 via Android
    @Wien 443 一样被扫
    Paulownia
        78
    Paulownia  
       141 天前   ❤️ 1
    同意上面的等保让干啥就干啥。但测评的人水平确实很一般,关注互联网上 80 端口更多的原因是传输未加密,存在被窃取风险,但是也得看看网站具体啥内容呢,上来就说 80 端口是高危端口不是耍流氓么
    skyrim61
        79
    skyrim61  
       141 天前
    人家虽然不专业, 但是人家掌握标准的定义 doge
    IMengXin
        80
    IMengXin  
       141 天前
    那个,政府的说 443 也是高危端口不给开,最后开了个 5443🐶
    yankebupt
        81
    yankebupt  
       141 天前
    按理说都早该上 ipv6 quic http/2 了,443 都上个世纪的事了,80 太老了,让关也算没有太不正常吧……
    Clannad0708
        82
    Clannad0708  
       141 天前
    @Wien 小肚皮?
    qinxi
        83
    qinxi  
       141 天前
    nginx 80 改成 443 万事儿.
    用户这样访问 http://a.b:443
    反正他说 443 安全😂
    dreamingclj
        84
    dreamingclj  
       141 天前
    zf 项目,把 443 和 80 都关了。。
    flyshu
        85
    flyshu  
       141 天前
    你好善良 ,和等保人员有什么好争执的
    VonLea
        86
    VonLea  
       141 天前   ❤️ 1
    在等保里边,无论二级三级系统,在公网(不可控网络环境)提供系统管理服务,使用 HTTP (明文传输)就是高风险,无法给你降风险的,直接就是不过,结果为差;你这已经使用 https ,80 端口仅提供个跳转,他们说是多余端口那就是呗,该关就关
    mritd
        87
    mritd  
       141 天前
    让你关你就关, 这种事情他们来了让怎么搞就怎么搞, 事情做过去就行了. 没让你改 root 用户名就不错了...
    mritd
        88
    mritd  
       141 天前   ❤️ 1
    等保这种东西, 你不要去考虑合理还是不合理; 因为不管是否合理, 你要过等保肯定是 “带有强制性或者说刚需的”, 他不让你过的话, 你合理不合理都没意义.

    如果说你知道一些安全实践或者说你作为一个 IT 从业者知道有一些东西应该怎么做, 而且能确认并控制风险, 再不济就是等完事了自己改回来就是了.

    你就想国密改造, 让你们企业买设备、搞加密, 最后用户浏览器都要收费才能支持, 你想想合理么? 但是文发出来, 你们公司想在这行混那就得弄, 你就是买个加密记放机房吃灰你也得上, 合理不合理不是你说的算的.
    ResponseBody
        89
    ResponseBody  
       141 天前
    他说的高危是对谁而言?对公司而言那不对,对用户而言那是对的。
    yulgang
        90
    yulgang  
       141 天前
    钱没给到位啊,配合检查,走了再开。
    zlowly
        91
    zlowly  
       141 天前   ❤️ 1
    虽然但是啊,既然是等保要求,那就关闭 80 端口吧,80 端口有非开不可的理由吗?
    安全的话还是那个道理,做了可能没啥用,但是出事的时候可能就是你裤裆里的黄泥。除非你们 KPI 跟开端口的数量挂钩。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1507 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 17:00 · PVG 01:00 · LAX 09:00 · JFK 12:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.