Строгая безопасность транспорта HTTP

Механизм защиты веб-сайта

HTTP Strict Transport Security ( HSTS ) — это механизм политики, который помогает защищать веб-сайты от атак типа «человек посередине», таких как атаки с понижением версии протокола ^[1] и перехват файлов cookie . Он позволяет веб-серверам объявлять, что веб-браузеры (или другие соответствующие пользовательские агенты ) должны автоматически взаимодействовать с ним, используя только соединения HTTPS , которые обеспечивают безопасность транспортного уровня (TLS/SSL), в отличие от небезопасного HTTP, используемого отдельно. HSTS — это протокол отслеживания стандартов IETF , указанный в RFC  6797.

Политика HSTS передается сервером пользовательскому агенту через поле заголовка ответа HTTP с именем Strict-Transport-Security. Политика HSTS определяет период времени, в течение которого пользовательский агент должен получать доступ к серверу только безопасным способом. ^{[2] : §5.2} Веб-сайты, использующие HSTS, часто не принимают открытый текст HTTP, либо отклоняя соединения по HTTP, либо систематически перенаправляя пользователей на HTTPS (хотя это не требуется спецификацией). Следствием этого является то, что пользовательский агент, не способный выполнять TLS, не сможет подключиться к сайту.

Защита применяется только после того, как пользователь посетил сайт хотя бы один раз, полагаясь на принцип « доверия при первом использовании ». Принцип работы этой защиты заключается в том, что когда пользователь вводит или выбирает HTTP (не HTTPS) URL-адрес сайта, клиент, такой как веб-браузер, автоматически обновляется до HTTPS без отправки HTTP-запроса, тем самым предотвращая любую HTTP-атаку типа «человек посередине».

История спецификаций

Спецификация HSTS была опубликована как RFC 6797 19 ноября 2012 года после одобрения IESG 2 октября 2012 года для публикации в качестве предлагаемого стандарта RFC . ^[3] Первоначально авторы представили его как интернет-проект 17 июня 2010 года. После преобразования в интернет-проект название спецификации было изменено с «Strict Transport Security» (STS) на «HTTP Strict Transport Security», поскольку спецификация применяется только к HTTP . ^[4] Поле заголовка ответа HTTP, определенное в спецификации HSTS, однако по-прежнему называется «Strict-Transport-Security».

Последняя так называемая «версия сообщества» спецификации, тогда называвшейся «STS», была опубликована 18 декабря 2009 года с изменениями, основанными на отзывах сообщества. ^[5]

Первоначальный проект спецификации, разработанный Джеффом Ходжесом из PayPal , Колином Джексоном и Адамом Бартом, был опубликован 18 сентября 2009 года. ^[6]

Спецификация HSTS основана на оригинальной работе Джексона и Барта, описанной в их статье «ForceHTTPS: Защита высокозащищенных веб-сайтов от сетевых атак». ^[7]

Кроме того, HSTS является реализацией одного из аспектов общей концепции улучшения веб-безопасности, выдвинутой Джеффом Ходжесом и Энди Стейнгрублом в их статье 2010 года « Необходимость последовательной структуры(-ий) политики веб-безопасности» . ^[8]

Обзор механизма HSTS

Сервер реализует политику HSTS, предоставляя заголовок по соединению HTTPS (заголовки HSTS по HTTP игнорируются). ^[1] Например, сервер может отправить заголовок таким образом, чтобы будущие запросы к домену на следующий год (максимальный возраст указывается в секундах; 31 536 000 равно одному невисокосному году) использовали только HTTPS: Strict-Transport-Security: max-age=31536000.

Когда веб-приложение выдает политику HSTS агентам пользователей, соответствующие агенты пользователей ведут себя следующим образом: ^{[2] : §5}

1. Автоматически преобразовывать любые небезопасные ссылки, ссылающиеся на веб-приложение, в безопасные ссылки (например, http://example.com/some/page/будут изменены на https://example.com/some/page/ перед доступом к серверу).
2. Если безопасность соединения не может быть обеспечена (например, сертификат TLS сервера не является доверенным), пользовательский агент должен разорвать соединение ^{[2] : §8.4} и не должен разрешать пользователю доступ к веб-приложению. ^{[2] : §12.1}

Политика HSTS помогает защитить пользователей веб-приложений от некоторых пассивных ( подслушивание ) и активных сетевых атак . ^{[2] : §2.4} Злоумышленник , использующий метод «человек посередине», имеет значительно меньшие возможности перехвата запросов и ответов между пользователем и сервером веб-приложений, пока в браузере пользователя действует политика HSTS для этого веб-приложения.

Применимость

Самая важная уязвимость безопасности, которую может исправить HSTS, — это атаки типа «человек посередине» с удалением SSL , впервые публично представленные Мокси Марлинспайком в его докладе BlackHat Federal 2009 года «Новые приемы для победы над SSL на практике». ^{[9] [10]} Атака с удалением SSL (и TLS ) работает путем прозрачного преобразования защищенного соединения HTTPS в обычное соединение HTTP. Пользователь может видеть, что соединение небезопасно, но, что особенно важно, нет способа узнать, должно ли соединение быть безопасным. Во время выступления Марлинспайка многие веб-сайты не использовали TLS/SSL, поэтому не было способа узнать (без предварительного знания), было ли использование простого HTTP следствием атаки или просто потому, что веб-сайт не реализовал TLS/SSL. Кроме того, во время процесса понижения версии пользователю не выдаются предупреждения, что делает атаку довольно незаметной для всех, кроме самых бдительных. Инструмент sslstrip Марлинспайка полностью автоматизирует атаку. ^{[ необходима ссылка ]}

HSTS решает эту проблему ^{[2] : §2.4} , информируя браузер о том, что соединения с сайтом должны всегда использовать TLS/SSL. Заголовок HSTS может быть удален злоумышленником, если это первый визит пользователя. Google Chrome , Mozilla Firefox , Internet Explorer и Microsoft Edge пытаются ограничить эту проблему, включая «предварительно загруженный» список сайтов HSTS. ^{[11] [12] [13]} К сожалению, это решение не может масштабироваться для включения всех веб-сайтов в Интернете. См. ограничения ниже.

HSTS также может помочь предотвратить кражу учетных данных для входа на сайт на основе cookie-файлов с помощью широко распространенных инструментов, таких как Firesheep . ^[14]

Поскольку HSTS ограничен по времени, он чувствителен к атакам, включающим сдвиг времени компьютера жертвы, например, с использованием ложных пакетов NTP . ^[15]

Ограничения

Первоначальный запрос остается незащищенным от активных атак, если он использует небезопасный протокол, такой как простой HTTP, или если URI для первоначального запроса был получен по незащищенному каналу . ^{[2] : §14.6} То же самое относится к первому запросу после периода активности, указанного в объявленной политике HSTS max-age(сайты должны устанавливать период в несколько дней или месяцев в зависимости от активности и поведения пользователя). Google Chrome , Mozilla Firefox и Internet Explorer / Microsoft Edge решают это ограничение, реализуя «предварительно загруженный список HSTS», который представляет собой список, содержащий известные сайты, поддерживающие HSTS. ^{[16] [11] [12] [13]} Этот список распространяется вместе с браузером, поэтому он также использует HTTPS для первоначального запроса к перечисленным сайтам. Как упоминалось ранее, эти предварительно загруженные списки не могут масштабироваться для покрытия всего Интернета. Потенциальное решение может быть достигнуто путем использования записей DNS для объявления политики HSTS и безопасного доступа к ним через DNSSEC , опционально с отпечатками пальцев сертификатов для обеспечения действительности (что требует запуска проверяющего преобразователя для предотвращения проблем последней мили ). ^[17]

Джунад Али отметил, что HSTS неэффективен против использования поддельных доменов; используя атаки на основе DNS, злоумышленник может перехватывать трафик с искусственного домена, которого нет в списке предварительной загрузки HSTS ^[18], это может быть сделано с помощью атак с подменой DNS ^[19] или просто доменного имени, которое обманчиво напоминает настоящее доменное имя, например www.example.org вместо www.example.com .

Даже с предварительно загруженным списком HSTS, HSTS не может предотвратить продвинутые атаки против самого TLS, такие как атаки BEAST или CRIME, представленные Джулиано Риццо и Тай Дуонгом. Атаки против самого TLS ортогональны принудительному применению политики HSTS. Он также не может защитить от атак на сервер — если кто-то его скомпрометирует, он с радостью будет обслуживать любой контент через TLS.

См. RFC  6797 для обсуждения общих вопросов безопасности HSTS.

Вопросы конфиденциальности

HSTS может использоваться для почти неизгладимой маркировки браузеров посетителей с помощью восстанавливаемых идентификационных данных ( supercookies ), которые могут сохраняться в режимах конфиденциальности браузера « инкогнито » и вне их. Создавая веб-страницу, которая делает несколько HTTP-запросов к выбранным доменам, например, если используются двадцать запросов браузера к двадцати различным доменам, теоретически можно различить более миллиона посетителей (2 ²⁰ ) из-за результирующих запросов, поступающих через HTTP и HTTPS; последний представляет собой ранее записанные двоичные «биты», установленные ранее через заголовки HSTS. ^[20]

Поддержка браузера

Страница настроек HTTPS Strict Transport Security в Chromium 45, отображающая статус политики безопасности для домена «en.wikipedia.org».

• Chromium и Google Chrome начиная с версии 4.0.211.0 ^{[21] [22]}
• Firefox, начиная с версии 4; ^[1] с Firefox 17 Mozilla интегрирует список веб-сайтов, поддерживающих HSTS. ^[12]
• Opera начиная с версии 12 ^[23]
• Safari начиная с OS X Mavericks (версия 10.9, конец 2013 г.) ^[24]
• Internet Explorer 11 в Windows 8.1 и Windows 7 с установленным KB3058515 (выпущен как обновление Windows в июне 2015 г.) ^[25]
• Microsoft Edge и Internet Explorer 11 в Windows 10 ^{[26] [27]}
• Браузер BlackBerry 10 и WebView начиная с BlackBerry OS 10.3.3.

Лучшие практики развертывания

В зависимости от фактического развертывания существуют определенные угрозы (например, атаки с внедрением файлов cookie), которых можно избежать, следуя передовым практикам.

• Хосты HSTS должны объявлять политику HSTS в своем доменном имени верхнего уровня. Например, хост HSTS на https://sub.example.com должен также отвечать заголовком HSTS на https://example.com. Заголовок должен указывать директиву includeSubDomains. ^{[2] : §6.1.2}
• В дополнение к развертыванию HSTS хост для https://www.example.com должен включать запрос к ресурсу из https://example.com, чтобы убедиться, что HSTS для родительского домена установлен, и защитить пользователя от потенциальных атак с внедрением cookie, выполняемых MITM, которые могут внедрить ссылку на родительский домен (или даже http://nonexistentpeer.example.com), на которую затем ответит злоумышленник. ^{[2] : §11.4}

Смотрите также

• Интернет-портал

• Политика безопасности контента
• .dev TLD – домен верхнего уровня, управляемый Google, включенный в список предварительной загрузки HSTS по умолчанию
• Закрепление открытого ключа HTTP

Ссылки

1. "Strict-Transport-Security". MDN Web Docs . Mozilla . Архивировано из оригинала 20 марта 2020 г. Получено 31 января 2018 г.
2. J. Hodges; C. Jackson; A. Barth (ноябрь 2012 г.). HTTP Strict Transport Security (HSTS). Internet Engineering Task Force . doi : 10.17487/RFC6797 . ISSN  2070-1721. RFC 6797. Предлагаемый стандарт.
3. "[websec] Действие протокола: 'HTTP Strict Transport Security (HSTS)' для предлагаемого стандарта (draft-ietf-websec-strict-transport-sec-14.txt)". 2 октября 2012 г. Архивировано из оригинала 29 января 2017 г. Получено 2 октября 2012 г.
4. Ходжес, Джефф (30 июня 2010 г.). "Re: [HASMAT] "STS" moniker (было: IETF BoF @IETF-78 Maastricht: HASMAT...)". Архивировано из оригинала 2 февраля 2017 г. Получено 22 июля 2010 г.
5. "Строгая транспортная безопасность -06". 18 декабря 2009 г. Архивировано из оригинала 21 февраля 2017 г. Получено 23 декабря 2009 г.
6. "Строгая транспортная безопасность -05". 18 сентября 2009 г. Архивировано из оригинала 24 февраля 2020 г. Получено 19 ноября 2009 г.
7. "ForceHTTPS: Защита веб-сайта высокой безопасности от сетевых атак". Апрель 2008 г. Архивировано из оригинала 28 февраля 2020 г. Получено 19 ноября 2009 г.
8. Ходжес, Джефф; Стайнгуэбл, Энди (29 октября 2010 г.). «Необходимость согласованной структуры политики веб-безопасности». Архивировано из оригинала 14 августа 2017 г. Получено 21 ноября 2012 г.
9. Marlinspike, Moxie (2009). Новые приемы для победы над SSL на практике (PDF) . Black Hat Briefings . Вашингтон, округ Колумбия. Архивировано (PDF) из оригинала 30 декабря 2014 года . Получено 15 марта 2012 года .
10. Обход SSL с помощью Sslstrip на YouTube
11. Langley, Adam (8 июля 2010 г.). «Строгая безопасность на транспорте». Проекты Chromium . Архивировано из оригинала 1 сентября 2019 г. Получено 22 июля 2010 г.
12. Keeler, David (1 ноября 2012 г.). "Предварительная загрузка HSTS". Mozilla Security Blog . Архивировано из оригинала 24 февраля 2020 г. Получено 6 февраля 2014 г.
13. Bell, Mike; Walp, David (16 февраля 2015 г.). "HTTP Strict Transport Security приходит в Internet Explorer". Архивировано из оригинала 15 ноября 2015 г. Получено 16 февраля 2015 г.
14. Ходжес, Джефф (31 октября 2010 г.). «Firesheep и HSTS (HTTP Strict Transport Security)». Архивировано из оригинала 23 июня 2016 г. Получено 8 марта 2011 г.
15. Selvi, Jose (17 октября 2014 г.). Обход HTTP Strict Transport Security (PDF) . Black Hat Briefings . Амстердам. Архивировано (PDF) из оригинала 22 октября 2014 г. . Получено 22 октября 2014 г. .
16. "Chromium HSTS Preloaded list". cs.chromium.org . Архивировано из оригинала 18 февраля 2020 г. . Получено 10 июля 2019 г. .
17. Butcher, Simon (11 сентября 2011 г.). «HTTP Strict Transport Security». Архивировано из оригинала 26 апреля 2019 г. Получено 27 марта 2012 г.
18. Али, Джунад (20 октября 2017 г.). «Выполнение и предотвращение удаления SSL: простой английский учебник». Cloudflare Blog . Архивировано из оригинала 14 декабря 2019 г. Получено 7 декабря 2017 г.
19. Максутов, АА; Черепанов, ИА; Алексеев, М.С. (2017). Обнаружение и предотвращение атак DNS-спуфинга . 2017 Сибирский симпозиум по науке о данных и инженерии (SSDSE). С. 84–87. doi :10.1109/SSDSE.2017.8071970. ISBN 978-1-5386-1593-5. S2CID  44866769.
20. «HSTS super cookie заставляет вас выбирать: «конфиденциальность или безопасность?» -». sophos.com . 2 февраля 2015 г. Архивировано из оригинала 11 февраля 2020 г. Получено 1 декабря 2015 г.
21. The Chromium Developers (17 ноября 2010 г.). «Строгая безопасность на транспорте — проекты Chromium». Архивировано из оригинала 20 марта 2020 г. Получено 17 ноября 2010 г.
22. Ходжес, Джефф (18 сентября 2009 г.). "fyi: Strict Transport Security specification". Архивировано из оригинала 29 февраля 2020 г. Получено 19 ноября 2009 г.
23. Opera Software ASA (23 апреля 2012 г.). "Поддержка веб-спецификации в Opera Presto 2.10". Архивировано из оригинала 20 июня 2018 г. Получено 8 мая 2012 г.
24. Лэнгли, Адам [@agl__] (20 декабря 2013 г.). «Подтверждено. См. ~/Library/Cookies/HSTS.plist. Включает предварительные загрузки Chromium с некоторой даты и обрабатывает заголовки HSTS» ( Твит ). Архивировано из оригинала 9 мая 2019 г. Получено 20 декабря 2013 г. – через Twitter .
25. "HTTP Strict Transport Security приходит в Internet Explorer 11 в Windows 8.1 и Windows 7". windows.com . Архивировано из оригинала 27 ноября 2019 . Получено 12 июня 2015 .
26. "Internet Explorer Web Platform Status and Roadmap". Архивировано из оригинала 29 июня 2015 г. Получено 14 апреля 2014 г.
27. "Project Spartan and the Windows 10 January Preview Build - IEBlog". 22 января 2015 г. Архивировано из оригинала 29 ноября 2019 г. Получено 23 января 2015 г.

Внешние ссылки

• Рабочая группа IETF WebSec
• Security Now 262: строгая транспортная безопасность
• Открытый проект безопасности веб-приложений (OWASP): описание HSTS
• Онлайн-браузер HSTS и тест Public Key Pinning
• Отправка предварительной загрузки HSTS для Google Chrome, Mozilla Firefox, Safari, IE 11 и Edge
• Предварительно загруженный список Chromium HSTS
• Strict-Transport-Security на веб-документах MDN