Рубрика «HSTS»

Меня зовут Ян Жу, я инженер по безопасности компании Yahoo, это Питер Эккерсли, ведущий компьютерный специалист компании Electronic Frontier Foundation, лидер команды разработчиков технологий, и Джеймс Кастен, специалист по технологиям и аспирант компьютерных наук и инженерии Мичиганского университета. Итак, кого из Вас потрясла возможность зашифровать весь Интернет? Я в восторге от вашего энтуазиазма!

Так вот, какие проблемы волнуют мир, кроме глобального потепления, детского голода и всего подобного? Проблема того, что протоколы защиты транспортного уровня TLS до сих пор не распространены повсеместно, даже в 2015 году. Прошлым летом, когда я захотела воспользоваться сайтом Quora, я зашла на страничку авторизации и увидела, что она сделана на основе простого HTML, что уже плохо. Кроме того, HTML открыт для воздействия инструментов злоумышленников и передаёт Ваши пароли в виде открытого текста. Это действительно плохо, если Вы ежедневно видите миллионы активных пользователей, которые входят на сайт подобным образом. Целью Quora является распространение социальных знаний, а может, и дезинформация пользователей, это сайт вопросов-ответов на различные темы.

DEFCON 23. «Let'sEncrypt: чеканка бесплатных сертификатов шифрования для Интернет». Ян Жу, Питер Эккерсли, Джеймс Кастен - 1

Есть ещё такой небольшой сайт под названием Google, пусть поднимут руки те, кто о нём слышал, так вот они всегда были достаточно хороши в смысле использования SSL. Однако некоторые странички, как вот этот лендинг приложений Google Ads, до сих пор по умолчанию использует обычный протокол HTTP. Вы можете сказать, что в этом нет ничего страшного, это статичная публичная страница, не требующая ввода пользовательских данных. Но человек вроде меня, который разбирается в этих вопросах, проверит, куда ведёт кнопка Log In. Обычный пользователь, ничего не подозревая, после нажатия на эту кнопку может быть перенаправлен на фишинговый сайт, где и введёт свои регистрационные данные.Читать полностью »

HTTP Strict Transport Security (HSTS) — это стандарт безопасности, который позволяет веб-сайту объявить себя доступным только по безопасным соединениям, а браузерам передаётся информация для редиректа. Веб-браузеры с поддержкой HSTS ещё и не позволяют пользователям игнорировать ошибки сертификатов на серверах.

Apple использует HSTS, например, на iCloud.com, так что каждый раз при попытке перейти по незащищённому адресу http://www.icloud.com из адресной строки браузера или по ссылке происходит автоматический редирект на https://www.icloud.com. Это отличная функция, которая предотвращает простые ошибки, например, по выполнению финансовых операций на канале без аутентификации.

Что здесь может быть не так?

Ну, стандарт HSTS описывает, что веб-браузер должен запоминать редирект на безопасную версию — и автоматически выполнять его от имени пользователя, если тот попытается в будущем установить небезопасное соединение. Информация для этого хранится на устройстве пользователя. И её можно использовать для создания «суперкуков», которые будут считываться межсайтовыми трекерами.
Читать полностью »

Security Week 27: ExPetr=BlackEnergy, более 90% сайтов небезопасны, в Linux закрыли RCE-уязвимость - 1Зловещий ExPetr, поставивший на колени несколько весьма солидных учреждений, продолжает преподносить сюрпризы. Наши аналитики из команды GReAT обнаружили его родство со стирателем, атаковавшим пару лет назад украинские электростанции в рамках кампании BlackEnergy.

Конечно, откровенного использования кусков кода в ExPetr не наблюдается, авторы постарались не спалиться. Но программистский почерк так просто не замаскируешь.

Сначала аналитики сравнили списки расширений шифруемых файлов. На первый взгляд не очень похоже – BlackEnergy работал со значительно большим разнообразием файлов, – но если приглядеться, сходство все-таки есть. Типов расширений существует множество, и из них можно собрать бесконечное число разных списков, а тут налицо явные пересечения по составу и форматированию.
Читать полностью »

Про HSTS на Хабре уже писали, этот механизм включен в генераторе конфигов для веб-серверов от Mozilla. Написать этот пост я решил за один день столкнувшись с недоступность сразу двух крупных сайтов из-за HSTS.

TL;DR: Тщательно проверяйте работу сайта по TLS перед включением HSTS, особенно если это большой портал с кучей субдоменов.

Что такое HSTS?

HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками. Стандарт описан в RFC6797, а политики бывают двух видов:

Динамические

Политика применяется из HTTP-заголовка Strict-Transport-Security при первом заходе на сайт по HTTPS, в нём указан срок действия и применимость к субдоменам:

Strict-Transport-Security: max-age=15768000; includeSubDomains;

Статические

Статические политики захардкожены в браузер и для некоторых сайтов включает привязку к вышестоящему CA, выпустевшему сертификат (например: google.com, paypal.com или torproject.org). Причем она может действовать только когда сайт открыт через TLS, разрешая незащищённое соединение, но блокируя MitM с подменой сертификата.

Список из Chromium используют все популярные браузер (Firefox, Safari и IE 11+Edge) и любой желающий может отправить заявку на добавление после соответствующей настройки. Веб-сервер также должен отдавать заголовок со сроком действия от двух лет и ключевым словом preload в конце:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Читать полностью »

Security Week 31: новости с Blackhat - 1Даже если на этой неделе произойдет какой-то супермегавзлом, его никто не заметит, так как все или почти все причастные к миру информационной безопасности находятся в Лас-Вегасе, на конференции BlackHat. Одно из ключевых мероприятий индустрии традиционно собирает именно исследователей. Соответственно, конференция говорит о проблемах, но почти не обсуждает решения. И не потому, что решений нет, просто такой формат. Интересно, что на роль конструктивного собрания о методах защиты претендует февральская RSA Conference, но и там пока наблюдается некий разрыв шаблона: через кулуары бизнес-митингов с применением терминов «митигация», «комплексная стратегия», «методика реагирования на инциденты» рано или поздно пробегает некто в худи с громким криком «ААААА, ВСЕ ПРОПАЛО!1».

Пожалуй, это нормально: бизнес относительно IT-безопасности спозиционирован между морковкой всеобъемлющей защиты и тачанкой киберпреступности. Так и движется, мотивируемый и подгоняемый, в сторону светлого будущего безопасного инфопространства. Cегодня я позволю себе отойти от привычного формата и расскажу о некоторых интересных докладах с BlackHat. Пост не претендует на полноту, конференция еще продолжается: первое и второе уже подали, но компот долетит уже на следующей неделе.

tl;dr Сломали автомобили, шифрование, Android, почту, кредитки, всех обманули зараженными флешками. Интернет был сломан давно, за прошедший отчетный период не починился.
Все выпуски сериала доступны по тегу.
Читать полностью »

В данной статье я расскажу о том, как я заставил свой блог на WordPress летать за счёт грамотного кэширования, сжатия и другой оптимизации серверной и клиентской сторон. На момент написания статьи характеристики VDS следующие:

CPU: 1 x 2GHz
HDD: 10Gb
RAM: 512Mb
OS: Debian 8 x64

Схема работы системы выглядит следующим образом:

image
Читать полностью »

Атака по времени на HSTS Sniffly показывает, на какие сайты ходил пользователь - 1Современные браузеры поддерживают функцию HTTP Strict Transport Security (HSTS). Флаг HSTS показывает, что с определённого домена нужно запрашивать шифрованную HTTPS-версию — даже если переход осуществляется по HTTP, а не HTTPS. Механизм нужен для обеспечения дополнительного уровня безопасности: браузер мог бы запросить HTTP-версию страницы, которую легко прослушать или подменить. Так можно избежать некоторых атак с понижением уровня защиты и перехват куки.

Данные, что у конкретного домена был установленный флаг HSTS, сохраняются в браузере пользователя. Это логическая переменная (true/false). Это не куки-файлы, а информация о безопасности, поэтому браузеры относятся к ней иначе. О слежении с помощью куки хорошо известно. Пользователь может зайти в настройки браузера и удалить те куки, которые ему не нравятся. Есть отдельные дополнения, которые запрещают приём куки от доменов маркетинговых компаний. Очистка настроек HSTS не так прозрачна — в браузерах можно удалить лишь все флаги для всех сайтов сразу. В январе Сэм Гринхал продемонстрировал, что с помощью HSTS можно создать суперкуки, которые не так легко удалить.

В прошлом месяце Янь Чжу показала на конференции ToorCon в Сан-Диего Sniffly. Проект использует HSTS и Content Security Policy для того, чтобы определить, какие сайты из списка пользователь уже посетил.
Читать полностью »

imageРазработчик популярного браузера Firefox, компания Mozilla будет постепенно отказываться от поддержки протокола HTTP в пользу зашифрованного протокола HTTPS. Это решение было принято после всестороннего и бурного обсуждения в списке почтовой рассылки.

Эра повсеместного перехода на шифрование будет происходить в два этапа. Сначала будет выбрана дата, по наступлению которой все новые функции будут поддерживаться только на HTTPS-сайтах. Затем постепенно начнётся отключение традиционных функций. То, какие функции веба нужно считать новыми, также будет обсуждаться в сообществе разработчиков.

План не отвергает полностью использование старых ссылок в формате http – вместо этого они будут преобразовываться в HTTPS через HSTS и атрибут upgrade-insecure-requests (средства, которыми пользуется сервер для переадресации всех запросов по безопасным каналам). Mozilla призывает разработчиков активнее включаться в движение по усилению безопасности работы в интернете, и планирует представить свои рекомендации консорциуму W3C.
Читать полностью »

Уже несколько лет все браузеры предлагают настройки для приватного браузинга. В приватном режиме они могут не сохранять куки, историю страниц и временные файлы. Люди, ценящие приватность, полагаются на эту возможность. Но недавно был предложен ещё один способ отследить пользователя даже и в этом случае, если тот не предпримет особых мер.

Ирония в том, что работе этой системы отслеживания способствует механизм под названием HTTP Strict Transport Security. Он нужен для того, чтобы сайты могли убедиться, что пользователь работает с их серверами только по протоколу HTTPS. Если сервер добавляет в заголовки соответствующий флаг, то по правилам HSTS все соединения с сервером должны быть зашифрованы. Таким образом пользователя защищают от различных возможных атак.
Читать полностью »

Особенности реализации HTTPS позволяют различать конкретного пользователя

Суперкуки HSTS для слежки за пользователями - 1Уже на протяжении многих лет во всех основных браузерах присутствует особенность, благодаря которой любой владелец веб-сайта может следить за посетителем. Есть немалая доля иронии в том, что эксплуатируемая при этом функция призвана обеспечивать безопасность.

На проблему недавно обратил внимание консультант по программному обеспечению британской фирмы RadicalResearch. На самом деле Сэм Гринхал открыл Америку: описание этой уязвимости протокола появилось в самом черновике HSTS (см. пункт 14.9 Creative Manipulation of HSTS Policy Store).

Но зато Гринхал наглядно показал, как эту функцию можно использовать в своих интересах. В некоторых браузерах не спасает не только чистка куки, но и даже режим инкогнито.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js