Nul
Video: Chroom vorderingen meerderheid van de desktop browser markt
Google heeft plannen aangekondigd om de vervallen Chrome-ondersteuning voor HTTP openbare sleutel vastzetten (HPKP), een IETF-standaard die de technici van Google schreef aan het verbeteren van de veiligheid van het web, maar nu eens schadelijk.
HPKP, zoals beschreven in IETF 7469, is ontworpen om het risico van een besmette Certificaat Autoriteit misissuing digitale certificaten voor een site, waardoor een aanvaller uit te voeren een man-in-het-midden-aanval op de versleutelde TLS (Transport Layer Security) – verbindingen.
Met behulp van HPKP, een website kan vertellen browsers te onthouden, of ‘pin’, die publieke sleutels voor het behoren tot een specifieke web server voor een bepaalde periode van tijd. Na dat de browser negeert alle andere publieke sleutels voor de duur instellen.
Momenteel worden Chrome, Firefox en Opera zijn de enige browsers die het ondersteunen HPKP, maar Google Chrome security team hebben plannen aangekondigd om dit te verwijderen ondersteuning voor HPKP in Chroom 67, wat het gevolg is voor de stabiele release rond 29 Mei 2018.
Security-onderzoekers hebben gewezen op een aantal problemen met HPKP, met inbegrip van de mogelijkheid voor een aanvaller om het installeren van kwaadaardige pinnen of voor een exploitant van een site om per ongeluk blok bezoekers.
Volgens de standaard, de eerste keer dat een browser verbinding maakt met een site, de server geeft, met behulp van een HPKP header, die de publieke sleutels behoren. Na dat, browsers accepteren alleen certificaten die zijn ondertekend met sleutels in de header.
Security-onderzoeker Scott Helme onlangs op gewezen dat een aanvaller die bestond uit een web server kan het verzenden van een website de bezoekers van hun eigen kwaadaardige HPKP headers. Tijdens de site-beheerder kan de controle van de site, browsers zou niet in staat zijn om verbinding te maken met het gevolg van de aanvaller HPKP beleid.
Dit scenario is gebeurd op Smashing Magazine het was bij het bijwerken van een verlopen SSL-certificaat. Het stelde HPKP en het beleid voor de duur van 365 dagen. Na het uitrollen van nieuwe, geldige certificaten, alle browsers met de oude HPKP beleid kon het niet bezoeken van de site. Ook de nieuwe HPKP beleid deed niets om de update van de oude.
Ryan Sleevi, één van de Chrome-leden die schreef de standaard, is sinds beschreven pinning als “verschrikkelijk”, de toelating van het schadelijk is voor het ecosysteem meer dan dat het helpt.
Google afschrijvingen kennisgeving erkent Helme ‘ s studie in augustus 2016, die alleen gevonden 375 sites werden met behulp van HPKP.
Qualys’ web security expert Ivan Ristic vorig jaar zei HPKP was gedoemd omdat het nodig is te veel moeite voor website-exploitanten te onderhouden goed en kunnen worden gebruikt als een “wapen” tegen alle andere sites.
In plaats van vast te pinnen, het Chrome-team zijn nu het stimuleren van ontwikkelaars om gebruik Certificaat Transparantie en de relatief nieuwe Verwachten-CT-header.
“Om zich te verdedigen tegen certificaat misissuance, web ontwikkelaars gebruik de Verwacht-CT kop, met inbegrip van de rapportage-functie,” ze let.
“Verwachten-CT is veiliger dan HPKP vanwege de flexibiliteit die het biedt website-exploitanten om te herstellen van foutmeldingen, en dankzij de ingebouwde ondersteuning aangeboden door een aantal van de CAs.”
Chrome zal stoppen met de ondersteuning HPKP in Chroom 67, als gevolg van de stabiele release eind Mei 2018.
Afbeelding: Google
Vorige en aanverwante dekking
Google: Deze golf in Chrome HTTPS-verkeer laat zien hoe veel veiliger kunt u nu online
Google HTTPS-everywhere druk is met de resultaten in de pagina wordt geladen op Chrome.
HET leader ‘ s guide to verminderen insider bedreigingen van de veiligheid [Tech Pro Onderzoek]
Bedreigingen van binnenuit kunnen vormen nog grotere risico ‘ s voor de onderneming gegevens dan die welke verband houden met externe aanvallen.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0