t.me/atinfo_chat Telegram группа по автоматизации тестирования

Тестирование сайта при переходе на https

Теги: #<Tag:0x00007f748c598118> #<Tag:0x00007f748c598050> #<Tag:0x00007f748ca1bf28> #<Tag:0x00007f748ca1be10>

Добрый день.
Вопрос знатокам:
Подскажите, на какие моменты нужно обратить внимание при тестирование сайта, когда идет переход с http на https ?

Если часть сайта перенесена на https?
Есть какие-то нюансы/тонкости если есть платежная система?

на вскидку
актуальность сертификата
отсутствие ресурсов подгружаемых по http (скрипты, картинки, etc)

а проверку скриптов, можно проверить только в ручную пройдясь по страничкам? или есть какой-то быстрый способ?

Если есть платежная система, есть какие-то нюансы?

Слышала пример, что заюзали https, но при передаче юзали http. как такое можно проверить? или отслеживать?

  1. я проверял вручную и давно (если не ошибаюсь, браузер начинается ругаться в консоле/в адресной строке) что на странице присутствуют ресурсы подгружаемые по http
  2. не могу дать конкретного ответа
  3. если я правильно понял, то, думаю что будет достаточно проверить (в нетворке браузера, фидлере и т.п.) что формы POST’ятся по https’у

возможно стоит проверить что идет редирект на https при попытке открыть сайт/продукт по http ссылке
можете погуглить на тему: “как перенести сайт на https” и подчерпнуть оттуда идеи для проверок

1 Симпатия

update по п 2. - не совсем по теме https’а, но такие вещи как XSS, CSRF - чекнуть стоит.

открываешь консоль браузера, и смотришь на коды ошибок - не должно быть варнингов, крос-ответов и прочего.

с 10 минуты

  1. Да любая прокся с настройками поможет отловить не SSL трафик. Тот же Fiddler при установке филльтра ресурсов на http:// отловит всё необходимое. Для скриптования можно юзать tcpdump.
  2. Нюансов уйма. Кукисы, токены, шифрования, книжка с полным описанием страниц на 1500-2000 потянет.
  3. ШИфрование можно отключать на сервере… будет забавно если можно отключить или понищить версию на клиенте… При передаче отключаете, клиент при приеме включает. Можно использовать transparent проксю, чтобы отслеживать запросы.

Вобщем, ваш вопрос звучит примерно как “Перехожу с велосипеда на самолет, на какие моменты стоит обратить внимание”. Для начала на TCP/IP, потом на HTTP, потом на SSL/TLS, потом на HTTPS, потом на Owasp top ten, потом на остальное в owasp.

2 Симпатий