Dajbych.net


Internet Explorer podporuje HTTP Strict Transport Security

, 3 minuty čtení

HTTP Strict Trans­port Se­cu­rity (HSTS) posky­tuje sluš­nou obranu proti man-in-the-mid­dle útokům. Stačí, aby server poslal urči­tou hlav­ičku, a proh­lížeč s ním bude nava­zo­vat spo­jení pouze přes TLS. Nikde už pak neb­ude spo­jení, které by bylo nezašifrované a umožňovalo tak útočníkovi ovlá­da­jící síťový provoz nevě­domky přes­měrovat uži­vatele na pod­vod­nou stránku. Dnešní ak­tu­al­izace (3058515) přidává pod­poru HSTS do In­ter­net Ex­ploreru 11 pro Win­dows 7 a Win­dows 8.1.

Man-in-the-middle útok

Získat uži­va­tel­ské jméno a heslo je pro útočníka velice jedn­oduché, pokud spo­jení není zašifrované dostatečně sil­nou šifrou. Uži­va­tel musí své heslo poslat serveru v takové podobě, aby ho přečetl pouze server, a musí mít jis­totu, že ho posílá právě tomu serveru, kterému si myslí, že ho posílá. Trans­port Layer Se­cu­rity (TLS) toto zjedn­odušuje na to, že si stačí ohlí­dat, aby byly v počí­tači nain­stalované kořen­ové cer­ti­fikáty pouze těch cer­ti­fikačních au­torit, kterým důvěřu­jeme.

V současné době je asi ne­jvětší slabi­nou fakt, že z důvodů zpětné kom­pat­i­bil­ity je ne­jprve navázáno nezašifrované spo­jení, které je poté přes­měrováno na spo­jení šifrované. Pokud se útočníkovi povede ovlád­nout síťový provoz (stačí, aby se uži­va­tel připo­jil přes Wi-Fi, kterou útočník ovládl), může toto přes­měrování poupravit tak, aby uži­vatele přes­měroval na svůj server. Poté už pouze stačí, aby dostatečně napodo­bil we­bovou stránku, za kterou se vy­dává, a seh­nal si pro ni SSL cer­ti­fikát. Pokud se to útočníkovi povede dostatečně dobře na­to­lik, že uži­va­tel na první poh­led nic nepozná a zadá do takové stránky své přih­lašo­vací údaje, poskytl tím útočníkovi kon­trolu nad svým účtem. Uži­va­tel navíc ne­musí nic poznat, pro­tože útočník napro­gra­muje svou stránku tak, aby fun­go­vala jako proxy.

Obrana

Zran­itel­nost se dá jedn­oduše vyřešit tím, že bude vešk­erý provoz už od začátku šifrovaný. To však není možné, pro­tože většina we­bových serverů TLS nepod­poruje. Řešením je držet si údaje o tom, které stránky TLS pod­porují, a nava­zo­vat rov­nou TLS spo­jení pouze s nimi.

Znalost proh­lížeče o stránkách, které TLS pod­porují, pra­mení ze dvou zdrojů. První zdroj je prostý sez­nam serverů, které TLS pod­porují. Ten je zkom­pilo­vaný do zdro­jových kódů hlavních proh­lížečů. Není to zrovna aka­demický přístup, jeho funkčnost však nelze popřít.

Druhým způ­sobem je (po přes­měrování na TLS) poslat klien­tovi tuto HTTP hlav­ičku:

Strict-Transport-Security: max-age=15552000

Parametr max-age značí dobu v sekundách, po kterou bude proh­lížeč nava­zo­vat spo­jení se serverem výhradně přes TLS. Min­imální hod­nota je 10886400 (18 týdnů).

Podpora v Internet Exploreru a Microsoft Edge

Pod­pora HSTS v In­ter­net Ex­ploreru byla ozná­mena 16. února pro In­ter­net Ex­plorer ve Win­dows 10 Tech­ni­cal Pre­view. HSTS pod­poruje jak In­ter­net Ex­plorer 11, tak i Mi­crosoft Edge (stále pod oz­načením pro­jekt Spar­tan) ve Win­dows 10 In­sider Pre­view. S červnovými ak­tu­al­izacemi přibyla tato pod­pora i pro In­ter­net Ex­plorer 10 ve Win­dows 7 a Win­dows 8.1.

Kde SSL certifikáty získat?

Možností je spousta. Dobrou nabídku má napřík­lad Start­Com, který nabízí cer­ti­fikáty pro nekomerční weby zdarma. Pro komerční weby má za­jí­mavou nabídku Sim­plia, která nabízí cer­ti­fikát za 297 Kč na 3 roky.