HTTP Strict Transport Security (HSTS)

Podívejte se raději na online verzi přednášky, slajdy mohly být aktualizovány nebo doplněny.

Detail přednášky

There's also an English version of this slide deck.

HTTPS je fajn, dokud vám ho někdo po cestě neodstraní.

Ukázku útoku proti uživateli e-mailu na Centrum.cz najdete na YouTube.

Pokud vás zajímá HTTPS jako celek, tak se podívejte na přednášku o přechodu na HTTPS.

Přijďte si o HSTS popovídat na školení Bezpečnost webových aplikací (nejbližší termín: termín zatím nevypsán).

Datum a akce

11. dubna 2015, Devel.cz Konference 2015

Slajdy

SlideShare

Přepis poznámek

1. HTTP Strict Transport Security

   HTTP Strict Transport Security (HSTS) zajistí zabezpečený „převoz“ informací bez možnosti odstranění HTTPS. (Tyto slajdy obsahují moje poznámky nejen pro ty, kteří na přednášce nebyli.)

2. https://www.datoveschranky.info/

   Při přípravě přednášky jsem narazil na tenhle nejmenovaný web. Všimněte si té věty nahoře. Na dalším slajdu je zvětšená.

3. Pro vstup do datové schránky přepište do adresního řádku webového prohlížeče adresu https://www.mojedatovaschranka.cz

   Tomuhle se říká HTML verze nula. To je HTML bez HT.

4. www.mojedatovaschranka.cz

   Uvedenou adresu jsem tedy zkusil zadat do prohlížeče. Jako každý normální člověk jsem při zadávání to https:// na začátku zapomněl napsat.

5. http://www.mojedatovaschranka.cz/

   Browser protokol doplnil za mě. Doplnil sice jenom http://, ne https://, ale to nevadí, určitě se dostanu tam, kam chci, web mě nejspíš přesměruje.

6. LOLWUT?

   Klientský portál informačního systému datových schránek je z důvodů zabezpečení přístupný výhradně prostřednictvím šifrovaného spojení. Doporučujeme Vám, abyste si v prohlížeči vytvořili záložku směřující přímo na zabezpečenou přihlašovací stránku na adrese https://www.mojedatovaschranka.

   Během 10-ti vteřin budete přesměrováni na zabezpečenou přihlašovací stránku. Pokud se tak nestalo, klikněte zde.

7. Super.

   Hmm. OK.

8. Do Not Perform Redirects from Non-TLS Page to TLS Login Page

   Ten vynález asi pochází ze zastaralého doporučení OWASPu, které říká, že přihlašovací stránku nemáte přesměrovávat z HTTP na HTTPS.

9. This recommendation has been removed.

   Ale tohle doporučení už bylo 16. října 2011 odstraněno.

10. Během 10-ti vteřin budete přesměrováni na zabezpečenou přihlašovací stránku.

    Nicméně i kdyby nebylo odstraněno, tak v doporučení se píše, že se nemá přesměrovávat. Jenže datové schránky návštěvníka nakonec přesměrují.

11. 10-ti

    Tato gramatická chyba je taková symbolická třešnička na tom zkaženém dortu.

12. SSL Strip

    Radou k vytvoření záložky se snaží řešit tento problém. Říká se tomu útok SSL Strip a je to typ útoku Man-in-the-Middle. Uživatel chce načíst nějaký web, do prohlížeče napíše adresu www.example.com bez https://, jeho prohlížeč pošle nešifrovaný požadavek na server, ten odpoví přesměrováním na https://www.example.com. Ten úvodní požadavek může zachytit mizera, na server ho přepošle, server tedy odpoví přesměrováním jemu. To přesměrování ale mizera nevrátí prohlížeči, ale místo toho pošle HTTPS požadavek na server sám. Server dostal požadavek po HTTPS a je spokojený, takže mizerovi pošle šifrovanou stránku. Mizera ji přijme, rozšifruje, změní všechny odkazy a formuláře z https:// na http:// a pošle prohlížeči. Uživatel vidí stránku, kterou chtěl, doména také souhlasí. Jen si nevšimne, že stránka není na HTTPS, možná totiž ani neví, že má být, napíše jméno a heslo a browser ho nešifrovaně odešle na server, mizera nešifrované spojení odposlechne a získá přihlašovací údaje. Ukázku útoku najdete na YouTube.

13. HSTS

    Řešit to doporučením vytvořit záložku nebo nepřesměrováváním je hloupé. Správně je to udělat pomocí HTTP Strict Transport Security (HSTS). HSTS umí Firefox i Chrome od verze 4, IE od verze Superman/12. (Aktualizace: IE 11 podporuje HSTS na Windows 7 a výše od počátku června 2015.)

14. Status Code: 307 Internal Redirect

    HSTS zajistí, že browser vůbec nebude posílat požadavek na HTTP, ale místo toho vygeneruje interní přesměrování a rovnou půjde na HTTPS. Takto to vypadá v Chrome. Podívejte se třeba na můj web, ten HSTS používá, rozdíl běžně nepoznáte.

15. Strict-Transport-Security: max-age=31536000; includeSubDomains

    HSTS je HTTP hlavička, kterou posílá server. Browser poté bude interně přesměrovávat http:// na https:// po X sekund, podle nastavení direktivy max-age. Direktiva includeSubdomains říká, že HSTS má platit i pro všechny subdomény. Nezapomeňte tuto hlavičku nastavovat i pro doménu example.com, nejenom pro www.example.com.

16. TOFU – Trust-On-First-Use

    HSTS hlavička může přijít jen po HTTPS, jinak ji browsery musí ignorovat. Musíme tedy věřit, že přesměrování z odpovědi na první požadavek zaslaný po HTTP nikdo nestripne. Tomuto modelu se říká Trust-On-First-Use.

17. Preload

    Abychom se nemuseli obávat ani toho prvního požadavku, tak můžeme využít tzv. preload list. Dodává se s prohlížečem při instalaci a zajistí, že prohlížeč už bude od začátku vědět, že váš web je na HTTPS a rovnou tam bude posílat požadavky.

18. Strict-Transport-Security: max-age=…; includeSubDomains; preload

    Abyste se dostali do preload listu, tak musíte k HSTS hlavičce přidat direktivu preload a o přidání webu ručně požádat. Tento preload list používá Chrome, Firefox a bude ho používat i IE. Ale jakmile tam jednou web dostanete, tak není rychlé cesty zpět, pozor na to. O odstranění ze seznamu sice můžete požádat, ale nějakou dobu to bude trvat.

19. max-age=60 bez preload

    Proto pro testování nastavte malý počet vteřin, třeba jen pár minut a nepoužívejte preload. Fakt, nedělejte to. Jinak si z vás někdo vystřelí a požádá o přidání na seznam za vás.

20. ~2000 domén, 35 .cz domén

    V preload listu z 11. 4. 2015 je necelých 2000 domén, z toho 35 českých, včetně Slevomatu, Mallu a Alzy. Těžko říct, jak se to bude řešit, až ten seznam trochu nabobtná, ale zatím moc místa nezabírá a pár let to ještě vydrží. Váš web se po zařazení na seznam dostane do prohlížeče s některou z jeho dalších verzí.

21. Žádná banka

    V preload listu není žádná česká banka. V ČR je 60 bank, spořitelen a záložen, z toho 10 jich používá HSTS v bankovnictví a 3 i na normálním webu. Ale v preload listu není žádná.

22. „Veškerá komunikace probíhá šifrovaně pomocí stejného systému, který používají banky.“ – fakturoid.cz

    Proto jsou docela vtipná tvrzení podobná tomuto od Fakturoidu. Žádná banka totiž nemá HTTPS udělané tak dobře, jako Fakturoid. Raději tedy přestaňte tyhle hlouposti tvrdit a prostě to udělejte dobře. Tedy jinak, než většina bank.

23. Your connection is not private

    HSTS má ještě jeden důležitý úkol. Když dojde k nějaké chybě při připojování k zabezpečenému webu, tak uživateli nedovolí pokračovat. Tady je ukázka připojení, kdy útočník podvrhnul certifikát vydaný neznámou certifikační autoritou. Web vpravo podporuje HSTS a nedovolí uživateli web načíst, tlačítko Pokračuj chybí.

24. HTTPS Everywhere

    Mimochodem, nainstalujte si do browseru toto rozšíření, díky němu se vám po HTTPS budou načítat i weby, které ho defaultně nenabízí, třeba Wikipedia. Je to takové lokální HSTS. (Aktualizace: Wikipedia se načítá od června 2015 pouze na HTTPS a to včetně HSTS, ale toto rozšíření si přesto nainstalujte, weby si do něj můžete přidávat také ručně.)