HSTS se stává novým internetovým standardem

28. 11. 2012

Sdílet

 Autor: © Joerg Habermeier - Fotolia.com
Technologie HTTP Strict Transport Security, která zabrání některým typům útoků proti spojení HTTPS, je nyní zralá, ale její podpora je prozatím velmi malá.

HTTP Strict Transport Security (HSTS) je nový webový bezpečnostní mechanismus, který slibuje větší odolnost pro weby podporující HTTPS (HTTP Secure). Ale přestože byl odsouhlasen a uvolněn jako internetový standard a přestože je podporován některými známými weby, je jeho nasazování pomalé.

HSTS je určen pro weby, které chtějí být dostupné pouze přes připojení HTTPS, a chrání je před hackery kompromitujícími integritu nabízeného obsahu stran pomocí chyb v implementacích HTTPS nebo pomocí přepínání uživatelů do nechráněného spojení HTTP.

Specifikace HSTS byla jako oficiální dokument RFC 6797 publikována v pondělí organizací IETF (The Internet Engineering Task Force), která je zodpovědná za vývoj a propagaci internetových standardů.

IETF, konkrétně skupina Web Security Working Group, na tomto řešení pracovala od roku 2010, kdy se poprvé objevilo v návrhu nesoucím podpisy významných expertů na Internet, Jeffem Hodgesem (PayPal), Collinem Jacksonem (Carnegie Mellon University) a Adamem Barthem (Google).

HSTS řeší problém tzv. smíšeného obsahu, který vzniká, když skripty nebo jiný spustitelný obsah z webových stránek chráněných protokolem HTTPS jsou stahovány z lokací třetích stran nechráněnou metodou transportu. To může být úmyslné nebo výsledkem programátorské chyby. Jakmile prohlížeč nahraje nebezpečný kód, ten pošle další požadavek prostřednictvím obyčejného HTTP, případně včetně uživatelovy cookie obsahující bezpečnostní klíče k relaci HTTPS. Útočníkovi potom postačí běžnými nástroji zachytit tuto komunikaci a cookie využít pro získání kontroly nad uživatelovým účtem.

HSTS zabraňuje i skupině útoků typu MITM (Man in the Middle, „člověk uprostřed“), kdy útočník – který může využít plně automatizované dostupné nástroje – vstoupí mezi prohlížeč a cílovou adresu a přesměrovává uživatele na nešifrovanou verzi webu.

Ve všech případech při aktivovaném HSTS je uživatelům počítače nahrána informace o tom, že daná adresa využívá striktně protokol HTTPS a jakékoli další nezabezpečené spojení je odmítáno. Samozřejmě je zde malé nechráněné okno, kdy prohlížeč poprvé navštěvuje konkrétní adresu a její politiku HSTS ještě nemá uloženou. Útočník tedy má teoretickou šanci zamezit, aby tato informace k uživateli vůbec dorazila. Poslední verze prohlížečů, jako je Chrome nebo Firefox, jsou proto instalovány včetně seznamu populárních webů se zapnutým HSTS.

Mezi známější servery, které již podporují HSTS, patří PayPal, Twitter a některé služby Googlu, Facebook právě přechází na čistě spojení HTTPS, ale zatím bez podpory HSTS. Podle SSL Pulse, projektu, který monitoruje implementace HTTPS na světových nejnavštěvovanějších webech, podporuje HSTS pouze cca 1700 z celkového počtu 180 000 webů pracujících výlučně s protokolem HTTPS.

Autor článku