V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
logan66
V2EX  ›  程序员

等保人员说 80 为高危端口,要求关闭 80 端口,说都是 https 用 443 就好,合理吗

  •  1
     
  •   logan66 · 2024-08-01 10:36:04 +08:00 · 13631 次点击
    这是一个创建于 368 天前的主题,其中的信息可能已经有所发展或是发生改变。

    第一次从等保人员口中听说 80 是高危端口; 我的理解是用户浏览器直接输入 网址浏览器默认是 http://; 普通用户不会 https://[网址] 这么输入的;

    第 1 条附言  ·  2024-08-01 11:19:42 +08:00
    我们这边 nginx 做了 80 http 强制跳转 443 https 的,还是要求关 80 端口
    91 条回复    2024-08-02 22:12:59 +08:00
    Mrun
        1
    Mrun  
       2024-08-01 10:37:30 +08:00
    把域名提交到 HSTS 列表呗
    deplives
        2
    deplives  
       2024-08-01 10:38:20 +08:00
    chrome 默认会跳 https 吧
    yyzh
        3
    yyzh  
       2024-08-01 10:38:59 +08:00 via Android
    有 HSTS.当然有些浏览器会帮你先尝试 hhtps 不行再自动回退 http.
    当然 80 危不危取决于你在上面跑的什么.网站的话没 ssl 是挺危
    cccn
        4
    cccn  
       2024-08-01 10:39:10 +08:00
    合理
    yuuko
        5
    yuuko  
       2024-08-01 10:39:16 +08:00
    现代浏览器应该是默认 https
    zed1018
        6
    zed1018  
       2024-08-01 10:39:21 +08:00
    要不怎么说是外包的狂欢节呢
    Wien
        7
    Wien  
       2024-08-01 10:39:23 +08:00
    高危端口意思就是容易被扫。https 就用 443 没毛病。
    zwy100e72
        8
    zwy100e72  
       2024-08-01 10:39:57 +08:00
    普通用户不会输入网址的,会百度搜索的都应该叫资深用户了(逃

    80 端口 http 个人认为还是有用的,应该做 301 跳转引导用户转向到 https 站点,至于你们这边行业内的情况,我个人不了解,也无法给出建议
    9dP06m83vIV00l72
        9
    9dP06m83vIV00l72  
       2024-08-01 10:43:12 +08:00
    有 HTTPS (443) 的情况下,说 80 端口是高危端口没毛病。
    justNoBody
        10
    justNoBody  
       2024-08-01 10:44:23 +08:00
    改了吧,没必要去争这个事儿。如果以后有人问起为什么一定要输入 https ,你就告诉他等保规定就可以了。虽然直接输入地址很多浏览器默认就是 https
    lucasj
        11
    lucasj  
       2024-08-01 10:45:29 +08:00
    禁用了 80 端口,只能在服务器上自己弄 HTTPS 证书了。

    有些服务商,如 cloudflare 直接给你域名 HTTPS ,不需要自己弄,监听 80 就行。
    zzznow
        12
    zzznow  
       2024-08-01 10:49:33 +08:00
    个人认为 80 不算高危端口,取决于网站提供的服务。http 是因为明文传输,所以不安全。
    forvvvv123
        13
    forvvvv123  
       2024-08-01 10:53:43 +08:00
    “高危端口” 没有个金标准的说法其实,一般“高危端口”是指一些服务的默认端口,开放到大范围的网络上容易招致大量扫描和无差异攻击的,比如 22 3306 ;

    他让你改这个也算合理的,现在不应该用 http 了,毕竟那个通信是明文,不要纠结说法了
    yikyo
        14
    yikyo  
       2024-08-01 10:54:41 +08:00
    等保很烦,但是这个没得说,你怕用户不会输,做个重定向
    liubaicai
        15
    liubaicai  
       2024-08-01 10:56:03 +08:00
    等保一般不都是 tob 业务吗?这种业务不就是领导说啥是啥么,他说 80 高危你给关了就行,至于用户体验又不重要。
    dyllen
        16
    dyllen  
       2024-08-01 10:58:10 +08:00
    等保是什么岗位?
    wu67
        17
    wu67  
       2024-08-01 11:00:46 +08:00
    端口不是高危, 但是跑在这个端口的服务可能高危. 你能用 80, 说明大概率没上 tls...我不信有人搞了 https 还特地用 80 端口.

    搞个证书这也没多大的成本吧, 没必要偷懒成这样, 尤其你们这种业务, 等保的来找你了, 肯定是存了用户信息这种敏感数据, 不然人家才懒得理你.
    wu67
        18
    wu67  
       2024-08-01 11:02:19 +08:00
    @dyllen 要求涉敏业务的公司/团队做信息安全防护的.
    cheng6563
        19
    cheng6563  
       2024-08-01 11:02:37 +08:00
    禁了 80 跳转都调不了,用户打开你网址很有可能直接卡主打不开了。
    GG668v26Fd55CP5W
        20
    GG668v26Fd55CP5W  
       2024-08-01 11:07:35 +08:00 via iPhone
    高危端口是这个标准吗
    geekvcn
        21
    geekvcn  
       2024-08-01 11:07:37 +08:00   ❤️ 5
    开 HTTPS 不禁用 HTTP 等于没开,想想你用户访问 HTTP 的时候就被劫持了,还能到跳转那步吗?所以现代主流浏览器都是先访问 HTTPS 不行再回退 443
    geekvcn
        22
    geekvcn  
       2024-08-01 11:08:05 +08:00
    @geekvcn 回退 80 ,说错了
    huzhizhao
        23
    huzhizhao  
       2024-08-01 11:08:19 +08:00   ❤️ 1
    你都做等保了,
    肯定是说啥是啥啦,先整改再说吧
    jonzhao
        24
    jonzhao  
       2024-08-01 11:12:51 +08:00
    同样,最近在过 ISO27001:2022, ACL 开了 any - any 80/443, 也被揪出来了.
    shyangs
        25
    shyangs  
       2024-08-01 11:13:33 +08:00
    最新版 chrome (網址列)預設 HTTPS , 是你理解錯了.
    opengps
        26
    opengps  
       2024-08-01 11:15:10 +08:00
    80 端口走 http ,当然数据不够可信,说成是高危端口其实也不为过,但一般会选择自动从 http 跳转 https ,这种跳转有的是用开着端口配置 web 服务跳转的,这种方式关闭就等同于 http 自动跳转 https 不可用了
    salmon5
        27
    salmon5  
       2024-08-01 11:15:43 +08:00
    等等?等保人员说的是:业务跑在 80 端口上吧,没有强制使用 https 。
    别混淆概念了。
    80 强制跳转 443 ,443 开启 HSTS ,应该没问题。
    lisongeee
        28
    lisongeee  
       2024-08-01 11:16:33 +08:00
    现在都是 80 端口开 http 服务,然后全部 301 重定向到 https 页面

    你不开,如果浏览器有自动升级 https 还好,没有的话用户打开就是不能访问
    jonzhao
        29
    jonzhao  
       2024-08-01 11:17:09 +08:00
    @jonzhao outbound, 访问外网 80 口.
    salmon5
        30
    salmon5  
       2024-08-01 11:18:19 +08:00   ❤️ 1
    ssl 443 端口添加:
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    这样就没问题了。
    logan66
        31
    logan66  
    OP
       2024-08-01 11:18:26 +08:00
    我们这边 nginx 做了 80 http 强制跳转 443 https 的,还是要求关 80 端口
    yy77
        32
    yy77  
       2024-08-01 11:20:45 +08:00
    80 代表着没有用 https ,那么登录的密码什么的就都是明码传送的。即使抛开这样的漏洞不说,没有证书,也容易让人制造假的网站而无法验证。
    所以现在的大趋势是尽可能使用 https 加证书,至少登录画面等有机密信息的部分要得是 https 的吧。
    defunct9
        33
    defunct9  
       2024-08-01 11:22:20 +08:00   ❤️ 4
    等保人员说 root 不行,得改名。
    julyclyde
        34
    julyclyde  
       2024-08-01 11:23:47 +08:00
    俩人都挺水的

    等级保护那帮人基本就是行业挑剩下的人吧,懂点技术,但又不怎么懂技术

    http 明文不 SSL ,容易被窃听,但是等级保护关注的难道不是攻击么?
    浏览器默认都 https ;默认 http 的时代已经过去了
    kkk1234567
        35
    kkk1234567  
       2024-08-01 11:36:04 +08:00
    难道以为雇用了登保测评机构,自己就是甲方了?
    Podul
        36
    Podul  
       2024-08-01 11:38:31 +08:00   ❤️ 1
    这样 https://xxxx.xxxx:80 就安全多了
    forvvvv123
        37
    forvvvv123  
       2024-08-01 11:38:41 +08:00
    让你改你就改嘛,国家标准; 跟老板说,可以让老板决定不改,就扣分嘛
    @logan66
    TimPeake
        38
    TimPeake  
       2024-08-01 11:39:13 +08:00
    开车很危险,都步行去吧
    pkoukk
        39
    pkoukk  
       2024-08-01 11:44:18 +08:00
    不合理的事情多了去了,改吧
    jifengg
        40
    jifengg  
       2024-08-01 12:04:44 +08:00
    @julyclyde “等级保护关注的难道不是攻击么”

    “等保”,不仅关注攻击,还要关注数据安全。
    cybort
        41
    cybort  
       2024-08-01 12:07:56 +08:00 via Android
    就是忽悠你的
    coldle
        42
    coldle  
       2024-08-01 12:13:23 +08:00 via Android   ❤️ 1
    好奇下,又关 80 端口又想初次访问也强制 https 的话,是不是只能把域名提交到 HSTS 列表了?
    vaeee
        43
    vaeee  
       2024-08-01 12:34:19 +08:00
    合理
    caola
        44
    caola  
       2024-08-01 12:45:03 +08:00
    除了国内那几个浏览器默认还是 http ,其他浏览器都是默认 https ,只有 https 不通时才降为 http
    heyjei
        45
    heyjei  
       2024-08-01 12:45:16 +08:00
    @logan66 要做等保的企业,肯定也有 waf 之类的吧,那就吧 80 关了呗,http 跳 https 的功能交给最前端的 waf 之类的去完成。何乐而不为?
    leo72638
        46
    leo72638  
       2024-08-01 12:47:00 +08:00 via iPhone
    你能拒绝等保吗?不能就按他的来吧
    ZE3kr
        47
    ZE3kr  
       2024-08-01 12:48:05 +08:00   ❤️ 1
    @geekvcn 禁用了服务器的 HTTP ,也一样可以劫持 HTTP
    IvanLi127
        48
    IvanLi127  
       2024-08-01 12:49:41 +08:00   ❤️ 1
    他说是就是。做等保是不需要考虑安全性的,有资质的机构说啥就是啥。然后买有资质的 waf ,在那上面用有资质的 80 端口做重定向。
    duzhuo
        49
    duzhuo  
       2024-08-01 12:50:36 +08:00
    这不是 sb 吗,80 端口做 301 跳转不就得了
    e3c78a97e0f8
        50
    e3c78a97e0f8  
       2024-08-01 13:02:53 +08:00   ❤️ 2
    如果你不在 HSTS preload 列表里面,用户第一次访问 80 端口可以被劫持到别的网站上去,这是一个安全隐患。如果你没有 HSTS ,那后续访问 80 端口一样有这个风险。

    这和有没有 redirect 没有关系,因为劫持在 redirect 前面。

    这个风险具体有多大很难说,但是人家提出来了,你是没有办法合理的退回去的。直接照办就是了。

    更何况现在没有几个用户是敲域名进网站的。
    allenby
        51
    allenby  
       2024-08-01 13:03:54 +08:00 via Android
    @zzznow #12 不涉及登录,只展示 没啥问题的
    villivateur
        52
    villivateur  
    PRO
       2024-08-01 13:25:21 +08:00   ❤️ 1
    如果你已经做了 80 端口 301 到 443 端口,那就是他们不懂装懂了,如果能喷他们的话,狠狠喷回去
    devopsdogdog
        53
    devopsdogdog  
       2024-08-01 13:30:42 +08:00 via Android
    关闭就是了,等保的不懂,都是半桶水,百度还支持 ssl3 呢
    miaotaizi
        54
    miaotaizi  
       2024-08-01 13:32:19 +08:00
    做等保的不都是上游要求指定的机构吗??

    让你干嘛就干嘛, 别逼逼
    mangojiji
        55
    mangojiji  
       2024-08-01 13:37:10 +08:00
    如果真要关闭 80 ,可以考虑提交到`HSTS Preload List` 或者 看看 DNS 能不能支持到 SRV/HTTPS 记录。
    9A0DIP9kgH1O4wjR
        56
    9A0DIP9kgH1O4wjR  
       2024-08-01 13:39:04 +08:00
    等保基本上就是按照规定的条款一个一个测试,如果要求了就改吧
    mangojiji
        57
    mangojiji  
       2024-08-01 13:41:17 +08:00
    @mangojiji 打错了,是 SrvB 记录。
    dj721xHiAvbL11n0
        58
    dj721xHiAvbL11n0  
       2024-08-01 14:03:38 +08:00
    得 443 也别用了,直接自定义端口吧
    Xs2y6914BljWqNfl
        59
    Xs2y6914BljWqNfl  
       2024-08-01 14:49:22 +08:00   ❤️ 2
    让你干嘛就干嘛
    billwang
        60
    billwang  
       2024-08-01 14:57:22 +08:00
    不是说了吗,让你用 18080 端口来提供服务的。
    mingsz
        61
    mingsz  
       2024-08-01 15:36:25 +08:00
    我建议不启用任何端口
    Sfilata
        62
    Sfilata  
       2024-08-01 15:43:51 +08:00
    普通人输网址顶多从 www 开始,没有人会直接输 http:// 的,所以如果有 https 了关闭 80 端口是合理的,反正也没用
    kuaner
        63
    kuaner  
       2024-08-01 15:46:28 +08:00
    合理
    635925926
        64
    635925926  
       2024-08-01 15:51:10 +08:00
    瞎扯,普通用户根本不会输入网址,只会从微信或者其他地方复制链接,保存书签。
    nt0p
        65
    nt0p  
       2024-08-01 16:20:35 +08:00   ❤️ 4
    在座说高危的老哥,想必都看不上这些公司吧?

    端口和高危不高危有啥关系? 如果 80 端口高危的话,那我用嘴呼吸也是高危咯?

    macbook ~ % curl -s -I http://baidu.com | grep HTTP
    HTTP/1.1 200 OK
    macbook ~ % curl -s -I http://jd.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    macbook ~ % curl -s -I http://taobao.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    X-protocol: HTTP/1.1
    macbook ~ % curl -s -I http://qq.com | grep HTTP
    HTTP/1.1 302 Moved Temporarily
    macbook ~ % curl -s -I http://weibo.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    macbook:~ curl -s -I http://google.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    macbook:~ curl -s -I http://apple.com | grep HTTP
    HTTP/1.1 301 Redirect
    macbook:~ curl -s -I http://www.amazon.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    macbook:~ curl -s -I http://www.facebook.com | grep HTTP
    HTTP/1.1 301 Moved Permanently
    macbook:~ curl -s -I http://www.microsoft.com | grep HTTP
    HTTP/1.1 200 OK
    txydhr
        66
    txydhr  
       2024-08-01 16:26:53 +08:00 via iPhone
    @yyzh HSTS 不会回退,是直接无法打开网页
    txydhr
        67
    txydhr  
       2024-08-01 16:28:03 +08:00 via iPhone
    @zzznow 我也觉得,80 不安全是对于传输内容而言,不是服务器安全
    YILSLIN
        68
    YILSLIN  
       2024-08-01 16:58:11 +08:00
    proxychains
        69
    proxychains  
       2024-08-01 17:17:00 +08:00   ❤️ 1
    return 301 https://xx.com/$request_uri 不就行了吗...
    sampeng
        70
    sampeng  
       2024-08-01 17:20:10 +08:00
    都没说到点子上。
    等保让你干啥你就干啥。不需要过脑子。
    cookii
        71
    cookii  
       2024-08-01 17:22:56 +08:00   ❤️ 1
    @Podul 戳啦! 443 端口更安全 http://example.com:443
    ffyyhh
        72
    ffyyhh  
       2024-08-01 17:49:43 +08:00
    非常合理
    studyrun
        73
    studyrun  
       2024-08-01 18:10:15 +08:00   ❤️ 1
    别说是 80 了,我们之前遇到一家等保,连 443 都列为高危端口,最后改成了 https://xxx.cn:4433/ (具体多少忘了,反正是 4 位数的)
    zhwq
        74
    zhwq  
       2024-08-01 19:01:38 +08:00
    那假如我在 80 端口开 ssl ,443 端口跑明文咋说呢?
    leconio
        75
    leconio  
       2024-08-01 19:19:30 +08:00 via iPhone
    懒政说法,高危的是明文传输,不是端口。一棒子打死 80 端口
    solopython
        76
    solopython  
       2024-08-01 20:13:10 +08:00
    我们等保前端容器都要加防篡改
    amrice
        77
    amrice  
       2024-08-01 20:14:26 +08:00 via Android
    @Wien 443 一样被扫
    Paulownia
        78
    Paulownia  
       2024-08-02 08:03:04 +08:00   ❤️ 1
    同意上面的等保让干啥就干啥。但测评的人水平确实很一般,关注互联网上 80 端口更多的原因是传输未加密,存在被窃取风险,但是也得看看网站具体啥内容呢,上来就说 80 端口是高危端口不是耍流氓么
    skyrim61
        79
    skyrim61  
       2024-08-02 08:36:06 +08:00
    人家虽然不专业, 但是人家掌握标准的定义 doge
    IMengXin
        80
    IMengXin  
       2024-08-02 08:41:21 +08:00
    那个,政府的说 443 也是高危端口不给开,最后开了个 5443🐶
    yankebupt
        81
    yankebupt  
       2024-08-02 09:13:38 +08:00
    按理说都早该上 ipv6 quic http/2 了,443 都上个世纪的事了,80 太老了,让关也算没有太不正常吧……
    Clannad0708
        82
    Clannad0708  
       2024-08-02 09:18:32 +08:00
    @Wien 小肚皮?
    qinxi
        83
    qinxi  
       2024-08-02 09:26:13 +08:00
    nginx 80 改成 443 万事儿.
    用户这样访问 http://a.b:443
    反正他说 443 安全😂
    dreamingclj
        84
    dreamingclj  
       2024-08-02 09:37:55 +08:00
    zf 项目,把 443 和 80 都关了。。
    flyshu
        85
    flyshu  
       2024-08-02 09:48:22 +08:00
    你好善良 ,和等保人员有什么好争执的
    VonLea
        86
    VonLea  
       2024-08-02 10:13:23 +08:00   ❤️ 1
    在等保里边,无论二级三级系统,在公网(不可控网络环境)提供系统管理服务,使用 HTTP (明文传输)就是高风险,无法给你降风险的,直接就是不过,结果为差;你这已经使用 https ,80 端口仅提供个跳转,他们说是多余端口那就是呗,该关就关
    mritd
        87
    mritd  
       2024-08-02 10:35:30 +08:00
    让你关你就关, 这种事情他们来了让怎么搞就怎么搞, 事情做过去就行了. 没让你改 root 用户名就不错了...
    mritd
        88
    mritd  
       2024-08-02 10:51:36 +08:00   ❤️ 1
    等保这种东西, 你不要去考虑合理还是不合理; 因为不管是否合理, 你要过等保肯定是 “带有强制性或者说刚需的”, 他不让你过的话, 你合理不合理都没意义.

    如果说你知道一些安全实践或者说你作为一个 IT 从业者知道有一些东西应该怎么做, 而且能确认并控制风险, 再不济就是等完事了自己改回来就是了.

    你就想国密改造, 让你们企业买设备、搞加密, 最后用户浏览器都要收费才能支持, 你想想合理么? 但是文发出来, 你们公司想在这行混那就得弄, 你就是买个加密记放机房吃灰你也得上, 合理不合理不是你说的算的.
    ResponseBody
        89
    ResponseBody  
       2024-08-02 12:27:05 +08:00
    他说的高危是对谁而言?对公司而言那不对,对用户而言那是对的。
    yulgang
        90
    yulgang  
       2024-08-02 17:13:12 +08:00
    钱没给到位啊,配合检查,走了再开。
    zlowly
        91
    zlowly  
       2024-08-02 22:12:59 +08:00   ❤️ 1
    虽然但是啊,既然是等保要求,那就关闭 80 端口吧,80 端口有非开不可的理由吗?
    安全的话还是那个道理,做了可能没啥用,但是出事的时候可能就是你裤裆里的黄泥。除非你们 KPI 跟开端口的数量挂钩。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3100 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 12:11 · PVG 20:11 · LAX 05:11 · JFK 08:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.