Я читаю эту страницу, и он говорит, что если сайт является SSL и пользователь пытается получить к нему доступ через обычный http, приложение не должно перенаправлять пользователя на https. Он должен просто заблокировать его. Может ли кто-нибудь проверить достоверность этого? Это не похоже на хорошую идею, и мне интересно, что представляет собой реальный риск просто перенаправлять пользователя на https. Похоже, что за этим нет технических причин, просто чтобы это было хорошим способом обучить пользователя.
Отключить HTTP-доступ к домену, даже не перенаправлять или не связывать его с SSL. Просто сообщите пользователям, что этот веб-сайт недоступны через HTTP, и они для доступа к ней через SSL.
Это лучшая практика против MITM и phising атак. Таким образом, ваш пользователи получат приложение никогда не доступно через HTTP и когда они сталкиваются с фазе или атака MITM, они будут знать что-то не так.
Один из лучших способов защитить ваши приложения против атак MITM и Атаки phising - это пользователей.