21. srpna 2017

Čtvrté (a poslední) číslo newsletteru převážně o bezpečnosti, bezpečném vývoji převážně webových aplikací a bezpečnosti převážně uživatelů je konečně tu.

TLS, SSL, HTTPS

Skoro již tradičně začneme certifikační autoritou Symantec. Ta se v posledních letech potýká s mnoha problémy, mj. vystavila několik desítek tisíc falešných certifikátů, kvůli kterým jí výrobci prohlížečů přestávají důvěřovat. Předběžně se proto dohodla s Googlem, že od 8. srpna budou certifikáty vydávat nezávislé certifikační autority. V reakci na tuto předběžnou dohodu Symantec tvrdil, že po diskuzích s potenciálními partnery nelze termín stihnout, partneři Symantecu by prý neměli dostatek času na posílení infrastruktury, která by tak nemusela zvládnout nápor nových žadatelů. Symantec je podle měření firmy Netcraft největším vydavatelem OV (Organization Validation) a EV (Extended Validation) certifikátů a ověření žadatelů o tyto certifikáty nelze vždy automatizovat jako v případě běžnějších DV (Domain Validation) certifikátů, které vystavuje například autorita Let's Encrypt. Finální situace je tedy taková, že aktivity certifikační autority Symantec převezme od 1. prosince 2017 autorita DigiCert. Existujících certifikátů vydaných před 1. červnem 2016 se změny dotknou až od dubna 2018 ve stabilní verzi Chrome, v Canary od ledna 2018, do té doby bude Chrome certifikátům důvěřovat. Certifikátů vydaných po 1. červnu 2016 se změny dotknou až v říjnu 2018. Mozilla ve svém prohlížeči Firefox udělá změny v podobný čas, plusmínus pár týdnů podle plánu vydání nových verzí. Je dobré připomenout, že Symantec má i další značky certifikátů (GeoTrust, Thawte, RapidSSL) a týká se to všech

Testovací verze Firefoxu označovaná jako Nightlypokusně vypnutou kontrolu platnosti „základních“ DV (Domain Validated) certifikátů pomocí protokolu OCSP (Online Certificate Status Protocol). Prohlížeč může po obdržení certifikátu poslat dotaz na OCSP servery aby zjistil, jestli certifikát nebyl revokován (zrušen). To může zdržovat načtení stránky, podle Mozilly skoro 9 % úspěšných OCSP trvá déle než 1 vteřinu. Například výpadek OCSP serverů certifikační autority Let's Encrypt minulý měsíc způsobil problémy některým návštěvníkům stránek, které certifikáty od Let's Encrypt používají, a tato změna ve Firefoxu by tomu měla předejít. Pokud se po změně načítání výrazně zrychlí, tak bude kontrola vypnutá ve všech verzích Firefoxu. Chrome takové online kontroly neprovádí již několik let. Místo posílání požadavků by se měla používat technika zvaná OCSP Stapling. Ta spočívá v připojení OCSP odpovědi rovnou k počátečnímu navázání šifrovaného spojení mezi serverem a prohlížečem, jenže implementace OCSP Staplingu v serverech Apache i nginx je bohužel chybná.

HTTPS je dobro. A taky chrání před cenzurou. Po přechodu Wikipedie na HTTPS v červnu 2015 se snížil počet cenzurování této „otevřené“ encyklopedie. Nepřející vlády sice pořád mohou cenzurovat celou Wikipedii, zkoumání provozu odhalí doménu nebo IP adresu, na kterou se uživatel připojuje, ale takové zablokování se většinou setká s velkou nevolí a je to „vidět“. Jednotlivé stránky zablokovat nejdou.

Certifikační autority WoSign a StartCom mají, podobně jako Symantec, za sebou také pěknou řádku problémů. Autorita WoSign vydávala certifikáty s do minulosti posunutým začátkem platnosti, certifikáty s duplicitními sériovými čísly a také nezveřejnila nákup certifikační autority StartCom. Chrome 61 (aktuální je verze 60) těmto certifikačním autoritám přestane úplně důvěřovat a žádné jimi vydané certifikáty nebudou platné. StartCom je známá svými certifikáty zdarma, které pro nekomerční účely poskytovala ještě před vznikem certifikační autority Let's Encrypt. Společnost StartCom v červenci vydala zprávu, že prošla auditem, změnila majitele (nyní je vlastníkem StartComu čínská firma Qihoo 360, která v roce 2016 koupila prohlížeč Opera), a že znovu Mozillu požádala o přidání na seznam důvěryhodných certifikačních autorit.

Nedávný výzkum inspekce HTTPS, tedy sledování zašifrovaného provozu, ukázal, že webový server může „inspekci provozu“ detekovat podle charakteristiky HTTPS spojení, která je pro každý prohlížeč a skenovací software jiná. Webový server Caddy detekci inspekce implementoval, takže provozovatel webu si může logovat, kolik návštěvníků je inspekcí postiženo, případně může rovnou uživateli ukázat, že jeho načítání stránek není tak bezpečné, jak na první pohled vypadá.

Prohlížeče

V aktuální verzi Chrome 60 je zpátky zkratka pro zobrazení informací o certifikátu. Stačí kliknout na ikonku zámečku v řádku s adresou a hned se dozvíte, jestli je certifikát validní, nebo ne. Když nad „odkazem“ Valid chvilku necháte myš, tak se zobrazí i informace o autoritě, která certifikát vystavila. Zkratku je potřeba nejdříve zapnout, to provedete na speciální adrese chrome://flags/#show-cert-link, po novém spuštění prohlížeče už ji budete moci využít. V budoucnu by zkratka měla být standardně zapnutá, vývojáři Chrome prý čekají na nějaké úpravy panelu, který se po kliknutí na zámek objeví. Informace o certifikátu naleznete také v Developer Tools (ty zobrazíte např. stiskem F12), v záložce Security je na to tlačítko.

Chrome začne počátkem příštího roku blokovat nepřijatelné reklamy. To jsou ty, které nebudou splňovat standard Better Ads, tedy např. reklamy, které začnou automaticky přehrávat nějaký zvuk nebo reklamy v pop-up oknech. Celkem bude blokovat 4 typy nepřijatelných reklam pro desktop a 8 typů pro mobilní zařízení. Už jen dodám, že Google je zakládajícím členem koalice, která standard definovala a dalšími členy jsou mj. Facebook, Interactive Advertising Bureau (IAB) a GroupM.

Úniky dat

Firma Zomato (působí i v Čechách) nedávno oznámila, že si někdo odnesl 17 milionů uživatelských účtů, teď už víme, jak k tomu došlo. V roce 2015 byla zveřejněna data z úniku ze služby 000Webhost, na které měl účet i vývojář Zomata. Ze služby unikla i hesla v čitelné podobě a ten vývojář používal to samé heslo i na GitHubu. Někdo tak získal přístup ke zdrojovým kódům Zomata, našel v nich chybu, kterou zneužil pro získání přístupu do databáze. Firmy by se o své vývojáře (a tím i o svoji budoucnost) měly starat trochu víc, třeba by jim mohly pořídit správce hesel.

Správci hesel mají určitá rizika, ale ta jsou pořád menší, než když někdo používá jedno heslo na více místech. Často jsou terčem útoků, ale při dobrém návrhu to zas tak moc nevadí. Ze správce hesel OneLogin unikla data na konci května a útočník prý data může i dešifrovat, dostal se tedy i k šifrovacím klíčům, eh, což o moc dobrém návrhu nesvědčí. OneLogin možná budete znát, před rokem spolknul českou firmu Portadi. Dat zákazníků Portadi se to prý netýká.

Sbohem a šáteček

Děje se toho fakt dost, co? Nepíše se mi to lehce, a trvalo to, než jsem to ze sebe dostal, ale tohle je poslední newsletter v této podobě. Ani jsem ho nestihl pojmenovat a už jsem ho zabil. Nezbývá mi tolik času, abych každou událost, novinku a změnu v prohlížeči detailně popisoval tak, jak bych v newsletteru chtěl, mrzí mě to. Aktuální novinky a události místo toho najdete u mě na Twitteru a/nebo na Facebooku. S radostí si tedy můžete vyhodit RSS newsletteru z čtečky (protože Inbox Zero, že), ale přidejte si místo toho RSS pro všechny články, mám „rozdělaných“ pár pěkných článků. Moc děkuji za dosavadní přízeň i pochopení.

Kam dál

Newsletter týkající se TLS/SSL/HTTPS vydává Feisty Duck, knižní vydavatelství, které má na svědomí třeba Bulletproof SSL and TLS – „živou“, neustále aktualizovanou knihu o… no, však víte. Na Rootu najdete seriál Postřehy z bezpečnosti a v Hospodářských novinách vychází Bezpečnostní svodky Michala Altaira Valáška. Plánované změny v prohlížečích tweetuje účet Intent To Ship.

Michal Špaček

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu: