web-dev-qa-db-fra.com

Comment HSTS arrête-t-il des attaques MITM?

Je sais qu'en quelques années il y a quelques années, quelqu'un pouvait créer un faux AP sans fil et utiliser quelque chose comme SSLStrip pour attirer les victimes dans la connexion aux versions non sécurisées des principaux sites Web, tels que Gmail, Facebook, etc., ils ont eu la TVHS C'était toujours possible. Mais, comme je vois que cela n'est plus possible pour les principaux sites Web. Ce qui a changé depuis quelques années avant quelques années. Comment HSTS empêche-t-il maintenant ce type d'attaques MITM?

networkman-in-the-middlehsts
9
typos

L'en-tête HSTS arrête les attaques de MITM en demandant au navigateur d'envoyer toujours la demande HTTPS (par opposition à HTTP) au domaine jusqu'à ce que la politique expire. Donc, un navigateur qui respecte l'en-tête enverrait une demande à https://example.com Même si l'utilisateur a cliqué sur un lien vers http://example.com.

La logique derrière la HST n'a pas changé puisqu'elle a été définie dans un [~ # ~ # ~ ~ ~] En 2012. Ce qui a changé est qu'aujourd'hui presque tous les navigateurs le mettent en œuvre. N'oubliez pas que c'est le navigateur qui applique cette politique! puis-je utiliser Navigateurs de rapports le supportant à partir des versions suivantes:

  • Internet Explorer 11 (2015)
  • Firefox 4 (2011)
  • Chrome 3 (2010, éventuellement également soutenu plus tôt)
  • Safari 7 (2013)

(Comment Firefox et =Chrome ont-ils réussi à soutenir HSTS avant que le RFC n'était sorti de moi.)

Donc, les gens utilisant des navigateurs plus âgés que ceux qui ne seront pas protégés même si l'en-tête est défini. Cela pourrait expliquer pourquoi vous avez l'impression que la définition de l'en-tête HSTS n'a pas été utilisée pour aider à SSLStrip plus tôt.

Une autre raison de la TVH ne permet pas d'aider peut être que l'utilisateur n'a jamais visité la page avant l'attaque. Si le navigateur n'a jamais vu l'en-tête, il ne peut pas y appliquer. Cela peut être résolu avec précharge .

18
Anders

SSLStrip a travaillé la réécriture https Demandes à la nature http, en supprimant la protection et permettant à la fois d'écouter et de modifier.

Un serveur avec protection HSTS définira un en-tête sur une demande HTTPS demandant au navigateur de contacter uniquement ce serveur à l'aide de HTTPS:

Strict-Transport-Security: max-age=31536000

Dans ce cas, pendant un an, le navigateur ne se connecte au serveur uniquement sur HTTPS et réécrire tous les liens à être https (SSLStrip inversé).

Mais il y a une mise en garde: le client doit avoir accédé au serveur à l'aide de HTTPS au moins une fois. Si le client ne se connecte que via HTTP, Mitm peut toujours se produire, toutes les demandes peuvent être modifiées et tout lien HTTPS ou la redirection peut être modifié à HTTP. Mais dès que le client accédant au serveur à l'aide de HTTPS, la HSTS Cookie est définie et les attaques SSLStrip Mitm ne sont plus possibles.

8
ThoriumBR