IETF maakt van HTTP Strict Transport Security-protocol een webstandaard
De Internet Engineering Task Force heeft het HTTP Strict Transport Security-protocol tot webstandaard verheven. Het hsts-protocol, een mechanisme dat de betrouwbaarheid van versleutelde ssl-verbindingen moet verbeteren, wordt echter nog weinig toegepast.
Via het hsts-protocol kunnen websites in de http response header aangeven dat zij uitsluitend toegankelijk zijn via versleutelde https-verbindingen. Reguliere onversleutelde http-verbindingen worden daarbij geweigerd. Het protocol moet een aantal aanvalsmethoden verhinderen op websites die ssl gebruiken. Zo voorkomt hsts-protocol dat zogenaamde mixed content wordt ingeladen door een webbrowser. Het mixed content-probleem treedt op wanneer een webserver bijvoorbeeld scripts van een niet beveiligde server van een derde partij ophaalt en aan de eindgebruiker serveert. Hierdoor ontstaat het risico dat een aanvaller een zogeheten session cookie weet te bemachtigen.
Hsts kan ook een middel zijn om man-in-the-middle-aanvallen te verhinderen. Browsers die contact leggen met websites die hsts ondersteunen en dus een https-verbinding vereisen, slaan deze informatie tijdelijk in een cache op. Als de gebruiker opnieuw verbinding maakt met dezelfde site, zal uit de browsercache blijken dat de website een https-verbinding nodig heeft. Zolang de houdbaarheidsdatum van deze informatie in de browsercache niet is verlopen, zal het uitvoeren van een man-in-the-middle-aanval aanzienlijk bemoeilijkt worden.
Inmiddels heeft het Internet Engineering Task Force het HTTP Strict Transport Security-protocol als webstandaard gepubliceerd. Enkele browsers, waaronder Chrome en Firefox, kunnen met hsts overweg, maar er zijn nog relatief weinig websites die gebruik maken van het protocol. Zo heeft SSL Pulse, een project dat het gebruik van ssl op het web in kaart brengt, becijferd dat van de 180.000 populairste websites met https-ondersteuning slechts een kleine 1700 hsts geactiveerd heeft. Daarnaast zouden veel van deze sites de hsts-implementatie niet goed geconfigureerd hebben, bijvoorbeeld door een te korte caching-periode via de time to live-instelling, zo schrijft NetworkWorld.
Het is de vraag in hoeverre hsts breder geïmplementeerd zal gaan worden nu het protocol een officiële IETF-standaard is. Diverse sites van Google ondersteunen het veiligheidsmechanisme, evenals PayPal en Twitter. Facebook is bezig om dataverkeer via https te laten verlopen, maar de sociale-netwerksite biedt nog geen hsts-ondersteuning.
Reacties (16)
Of gewoon geen externe reclame serveren op sites die beveiligd zijn.Zo voorkomt hsts-protocol dat zogenaamde mixed content wordt ingeladen door een webbrowser. Het mixed content-probleem treedt op wanneer een webserver bijvoorbeeld scripts van een niet beveiligde server van een derde partij ophaalt en aan de eindgebruiker serveert.
Dan hadden we ook niet die belachelijk gebruikersonvriendelijke vragen van onze browsers gekregen bij mixed-content.
[Reactie gewijzigd door Frank-L op zondag 25 november 2012 13:44]
Vervolgens melden de websites dat bijna niemand gebruik van de functie (het zogenoemde "captain obvious" syndroom?) en proberen ze de beleidsmaker te misleiden om zodoende hun zin te krijgen: doen wat de gebruiker haat om zelf beter te worden: tracking cookies plaatsen.
Owja, dit wil je doen.
[Reactie gewijzigd door Nas T op zondag 25 november 2012 21:00]
Ontopic: We zullen dit protocol dus gauw terugzien bij bijvoorbeeld paypal, banken en overheidssites? Ben benieuwd!
Iemand beweerde pas dat Microsoft juist heel vlot was met het implementeren van standaarden. Jammer dat ze hier de bal laten liggen.
http://www.jtmelton.com/tag/http-strict-transport-security/"There are no backwards compatibility issues and it only enhances your security posture. By adding the header, you give your users greater security with very little effort on your part."
aan de server kant word er dus een header geset, als de brower daar niet mee om kan gaan negeert hij deze gewoon. Er zijn dus geen issues voor oudere browsers en iedereen kan gewoon door gaan met browsen. Mensen met een degelijke browser genieten echter van de verbeterde beveiliging.
Heb je liever de spec er bij zie dan 5.1 uit RFC 6797( http://tools.ietf.org/html/rfc6797#section-5.1 ):
UAs = HTTP user agents (zie introduction)5.1. HSTS Host Declaration
An HTTP host declares itself an HSTS Host by issuing to UAs an HSTS
Policy, which is represented by and conveyed via the
Strict-Transport-Security HTTP response header field over secure
transport (e.g., TLS). Upon error-free receipt and processing of
this header by a conformant UA, the UA regards the host as a Known
HSTS Host.
Dat de browser de boel negeert kan je van mij aan nemen of je kan aannemen dat ze zich aan RFC 2616 (http 1.1) houden. zie ook
http://www.w3.org/Protocols/rfc2616/rfc2616-sec7.html#sec7.1
Het is voor developers vrij simpel te implementeren, zie wiki voor voorbeelden:Unrecognized header fields SHOULD be ignored by the recipient and MUST be forwarded by transparent proxies.
http://en.wikipedia.org/w...t_Security#Implementation
[Reactie gewijzigd door Mr_Light op zondag 25 november 2012 21:09]
Al blijft het mijn mening dat het door alle browsers ondersteund zou moeten worden om een beetje zoden aan de dijk te zetten.
Wanneer je de website bezoekt op https en bovenstaande header is gezet, dan zullen alle requests die je voor dat domein volgt automatisch via https verlopen zelfs wanneer ergens (al dan niet per ongeluk) http staat. Dit totdat max-age is expired.
Ik vind dit schijnveiligheid. Dit werkt alleen wanneer je de pagina eerder hebt bezocht en je dus weet dat deze site HSTS afdwingt/aangeeft. De preloaded list waarmee Chrome komt is uiteraard niet volledig. Je moet je site zelf aanmelden. Firefox 17 heeft als target ook zo'n list te bevatten: https://wiki.mozilla.org/Privacy/Features/HSTS_Preload_List
Ik vind persoonlijk dan ook eigenlijk niet dat dit echt veel toevoegd aan de bestaande veiligheid die https biedt.
Je kan ook kiezen dat je van de HTTP URL een permanent redirect maakt, dan heb je ook geen initiele HTTP requests meer na het eerste request, net als met deze nieuwe standaard (ik vind het meer een minimale extensie). Uiteraard beschermt een permanent redirect niet tegen "onveilige http links", maar als je geen http links wilt, moet je daarvoor zorgen. Als je ze dan wel op je site hebt staan, zijn dat bugs die gefixed moeten worden.
Aangezien deze header werkt op jouw domein (en optioneel subdomains), vraag ik mij sowieso af hoe de browser zich zal gedragen wanneer je een http link include naar een andere site, of wanneer je een plaatje gebruikt met source naar een andere site. Zonder HSTS zal je browser aangeven dat er onveilige content geinclude wordt, maar wat gebeurd er dan met HSTS? Waarschijnlijk precies hetzelfde omdat het alleen van toepassing is op het huidige domein.
bootstrappen is belangrijk. Nu beperk je het tot eerste http request. In de toekomst wordt het waarschijnlijk nog eerder in het proces, namelijk eerste dns request icm met dnssec en een dns server die je wel vertrouwd kom je een heel eind zeker in combinatie met The DNS-Based Authentication of Named Entities http://tools.ietf.org/html/rfc6698 Preloaded lists scalen niet en worden snel 'oud'.Ik vind dit schijnveiligheid. Dit werkt alleen wanneer je de pagina eerder hebt bezocht en je dus weet dat deze site HSTS afdwingt/aangeeft.
Zo als ook al aangegeven op de wiki overigens:
The Chrome browser attempts to limit this problem by including a "pre-loaded" list of HSTS sites.[16] Unfortunately this solution cannot scale to include all websites on the internet; a potential solution might be achieved by using DNS records to declare HSTS Policy, and accessing them securely via Secure DNS, optionally with certificate fingerprints to ensure validity (although Secure DNS will have secure last mile issues for the foreseeable future
Bugs zullen zich voordoen, en totdat ze gefixed zijn heb je in dat geval nog altijd wel een gat in jouw beveiliging.zijn dat bugs die gefixed moeten worden.
het is een open deur maar extensies moeten ook worden gestandaardiseerd. Een rondje langs de RFC's leert dat de meesten niet echt 'groot' zijn.net als met deze nieuwe standaard (ik vind het meer een minimale extensie)
[Reactie gewijzigd door Mr_Light op maandag 26 november 2012 12:41]
Wat bij je bank ook meestal wel het geval zal zijn. En dat is volgens mij juist waarvoor het bedoelt is. Man in the middle aanvallen moeilijker maken.Ik vind dit schijnveiligheid. Dit werkt alleen wanneer je de pagina eerder hebt bezocht ...
(Mocht die goede browser iemand interesseren)
We gebruiken HTTP zoveel dat we het 'als' een normaal woord gebruiken en het eigenlijk nooit uitschrijven.
Daarbij is het niet een protocol zoals HTTP, maar een protocol voor gebruik met HTTP.
Het is de afkorting die voor verwarring kan zorgen, (al denk ik niet dat deze veel gebruikt gaat worden) en dat er hier gesproken wordt over een 'protocol', waardoor de associatie met HTTP ontstaat.
De header is dan ook gewoon: "Strict-Transport-Security"
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
