HTTPS blandet indhold: stadig den nemmeste måde at bryde SSL

problemer med blandet indhold opstår, når hjemmesider leverer deres sider via HTTPS, men tillader, at nogle af ressourcerne leveres i almindelig tekst. Den aktive netværksangriber kan ikke gøre noget ved den krypterede trafik, men at rode med klarteksten kan resultere i angreb, der spænder fra phishing i bedste fald til fuld bro.ser-kompromis i værste fald. Et enkelt eksponeret script er tilstrækkeligt: angriberen kan kapre forbindelsen og injicere vilkårlige angreb nyttelast i det.

vi har en tendens til at tale meget om andre aspekter af SSL/TLS, men blandet indhold er nok den nemmeste måde at helt ødelægge din hjemmeside kryptering.

i de meget tidlige dage af internettet var alt blandet indhold tilladt. Det resulterede naturligvis ikke med stor sikkerhed. Site operatører gjorde hvad de havde brug for for at få deres arbejde udført og reducere omkostningerne. Først i de senere år begyndte bro.ser-leverandører at være opmærksomme og begynde at begrænse blandet indhold.

blandet indhold i moderne bro. sere

i dag har næsten alle større bro.sere en tendens til at opdele blandet indhold i to kategorier: passiv for billeder, videoer og lyd; og aktivfor farligere ressourcer, såsom scripts. De har tendens til at tillade passivt blandet indhold som standard, men afviser aktivt indhold. Dette er helt klart et kompromis mellem at bryde Internettet og rimelig sikkerhed.

Internetudforsker har været førende inden for sikker blandet indholdshåndtering. Så tidligt som Internetudforsker 5 (ifølge dette indlæg) havde de som standard detektion og forebyggelse af usikkert indhold. Chrome begyndte at blokere som standard i 2011 og i 2013. Standard Android-bro. ser og Safari tillader dog stadig alt blandet indhold uden begrænsninger (og med næsten ikke-eksisterende advarsler).

her er resultaterne af min seneste test af, hvad usikkert indhold er tilladt som standard:

billeder billeder CSS Scripts HR
Android 4.4. Ja Ja Ja Ja Ja Ja Ja
krom 33 Ja Nej Nej Ja Ja Nej Nej
28 Ja Nej Nej Nej Nej Nej Nej
Internetudforsker 11 Ja Nej Nej Nej Nej Nej Nej
Safari 7 Ja Ja Ja Ja Ja Ja

de er for det meste som forventet, men der er en overraskelse med Chrome, som blokerer aktivt sideindhold, men tillader stadig almindelig tekst.

det er værd at nævne, at tabellen ikke fortæller os alt. For eksempel har brugerne en tendens til ikke at kontrollere, hvad deres plugins gør. Flash eller Java) er fulde miljøer i sig selv, og der er lidt, der kan gøre for at håndhæve sikkerheden.

test for blandet indholdshåndtering I SSL-laboratorier

for at gøre det lettere at evaluere bro.serhåndtering af dette problem udvidede jeg for nylig SSL Labs-Klienttesten til at undersøge blandet indholdshåndtering. Når du besøger siden, testes din bruger, og du får resultater svarende til disse:

ssl-labs-client-test-mixed-content

blandet indhold prævalens

anekdotisk er blandet indhold meget almindeligt. I 2011 undersøgte vi dette problem sammen med flere andre problemer på applikationsniveau, der resulterer i fuld brud på kryptering i internetapplikationer. Vi analyserede hjemmesiderne på omkring 250.000 sikre hjemmesider fra Top 1 million listen og fastslog, at 22,41% af dem brugte usikkert indhold. Hvis billeder udelukkes, falder antallet til 18,71%.

en mere detaljeret undersøgelse af 18.526 steder ekstraheret fra Aleksas top 100.000 fandt sted i 2013: en farlig blanding: storskala analyse af blandede indholdssider (Chen et al.). For hvert site blev der analyseret op til 200 sikre sider, der ankom til i alt 481.656 sider. Deres resultater viser, at op til 43% af hjemmesider har blandede indholdsproblemer.

afbødning

det bedste forsvar mod problemer med blandet indhold er simpelthen ikke at have denne type problemer i din kode. Men det er let sagt end gjort; der er mange måder, hvorpå blandet indhold kan krybe op. Når det mislykkes, er der to teknologier, der kan komme nyttige:

  • HTTP Strict Transport Security (HSTS) er en mekanisme, der håndhæver sikker ressourcehentning, selv i lyset af brugerfejl (forsøger at få adgang til din hjemmeside på port 80) og implementeringsfejl (dine udviklere placerer et usikkert link på en sikker side). HSTS er en af de bedste ting, der skete for TLS for nylig, men det virker kun på de værtsnavne, du styrer.
  • Content Security Policy (CSP) kan bruges til at blokere usikker ressource hentning fra tredjeparts hjemmesider. Det har også mange andre nyttige funktioner til at løse andre applikationssikkerhedsproblemer, f.eks.

Write a Comment

Din e-mailadresse vil ikke blive publiceret.