Ein ganz tolles und großes HTTPS-Portal:
- Linkt auf HTTP-Unterseite (separate Anwendung)
- Diese enthält nur eine Javascript Weiterleitung
Ist man nun oberklug und blockiert Javascript, könnte man doch auf diese Idee kommen:
- Manueller Aufruf über HTTPS (sichererer ^^)
Doch jetzt wird es lustig:
- Gültiges Zertifikat
- Und Error 404
ABER: Die Fehlerseite sendet einen STS-Header!
Resümee: Der Link im Portal ist jetzt gänzlich hin und für den User nicht mehr erreichbar.
Wieso im Dreiteufelsnamen kommt man überhaupt auf die Idee, eine Weiterleitung ausschließlich über eine unverschlüsselte Verbindung zu realisieren? Das ist doch ein Supergau an dieser Stelle. Warum verlinkten die dann nicht gleich auf das korrekte Ziel? Und warum konfiguriert man einen HTTPS vHost, konfiguriert ihn aber kaputt? Woah! Einmal mit Profis bitte, mich wundert bei denen echt nichts mehr…
(Nein, ich werde nicht sagen, um wen oder was es geht.)