web-dev-qa-db-ja.com

HTTPS Everywhereはsslsniffのような攻撃から私を守りますか?

http://www.thoughtcrime.org/software/sslsniff/

私のHTTPS Everywhereリストにドメインがあり、理論的には私のFirefoxでHTTPS接続を介してのみアクセスできる場合、sslsniff攻撃は私に対して成功するでしょうか? sslsniffがHTTPSからHTTPへの接続を低下させたため、攻撃者は情報を入手できますか?または、HTTPS Everywhereを使用すると、このような攻撃から「完全に安全」になりますか?

更新:そして、ドメインをHTTPS Everywhereにホワイトリストに登録するとどうなりますか? [xmlファイルを作成できます]。したがって、ドメインはHTTPS経由でのみ利用できます。

15
LanceBaynes

短い答えは次のとおりです:いいえ、常にではありません。私はこのトピックを深く研究しました。結論を出す前にこの投稿全体を読んでください。

SSLSniffは、 OCSPの脆弱性 または(独創的な) null-prefix証明書攻撃 などのPKIの欠陥を活用するための概念実証プラットフォームです。完全にパッチを適用したシステムを使用していて、SSLエラーの意味を理解している場合は、[〜#〜] most [〜#〜](すべてではありませんが)HTTPS Everywhereを必要としないこれらの攻撃のすべて。 null-prefix証明書攻撃に対してパッチが適用されていない場合、証明書は有効であるように見え、HTTPSはどこでも役に立たなくなります。 SSLエラーの意味を理解していない場合、SSLSniffに対してHTTPS Everywhereは役に立ちません。

SSLSniffよりも心配だと思うのは SSLStrip です。これもMoxie Marlinspikeによって作成され、彼の講演で紹介されています 実際にSSLを無効にするための新しいトリックこのツールはsslエラーを引き起こしません。これは、アプリケーション層のHTTP/HTTPSを利用しています。 HTTP経由でページをロードすると、HTTPSリンクを削除してページが書き換えられます。さらに一歩進んでfavicon.icoファイルをロックの画像に変更し、初心者ユーザーをだます。非常に単純ですが、絶対に壊滅的な結果になります。この攻撃に対応して、Googleは Strict Transport Layer Security (STS)を導入しました。これはHTTPS Everywhereによく似ていますが、ブラウザに組み込まれています。 HTTPS Everywhereは、SSLStrip攻撃に対する防御策として非常に優れていることにも注意してください。実際、これはSSLストリップのような攻撃や不注意な OWASP a9-Insufficient Transport Layer Protection 違反に対するEFFのソリューションです。

では、HTTPS EverywhereとSTSはいつ失敗するのでしょうか。いかがですか https://stackoverflow.com 。気付いた場合は、自己署名証明書を使用しています。 ジェフ・アトウッド自身はこの問題を気にしていません 。このWebサイトは自己署名証明書を使用しているため、HTTP Everywhereは強制的にHTTPSを使用しますが、攻撃者はSSLSniffを使用して独自の自己署名証明書を配信できるため、HTTPS EverywhereはStackOverflowアカウントの乗っ取りからの保護に失敗します。

さて、この時点でおそらくあなたは自分に言っているでしょう。 「それが、PKIがある理由です。」まあ、PKIは完璧ではありませんが。 HTTPSの作成者の1人は、「PKIはギリギリのハンドウェーブである」と述べました(参照: SSLおよびThe Authenticityの未来 )。この講演でMoxieは素晴らしい質問をしました。PKIは本当に最良の解決策ですか? DigiNotorがハッキングされている のようなCAに問題があることを意味します。 CAがハッキングされると、攻撃者は有効な証明書を作成し、HTTPS Everywhereはまったく役に立たない場合でも、攻撃者はSSLSniffを使用できます。 「有効な」証明書。 EFFのSSLオブザーバトリー は、PKIシステムが複雑に絡み合っていることを示しています。つまり、中国がgmail.comの証明書を作成するのを妨げているのは何ですか。まあ、EFFは Sovereign Keys Project を提案しています。それは素晴らしいアイデアだと思います。ソブリンキーがまだ存在しないという事実に加えて、別の問題があります。ソブリンキーは https:で使用されているような自己署名証明書には役立ちません。 //stackoverflow.com !しかし、Moxieはこの状況を考慮し、 Convergence と呼ぶ解決策を考え出しました。コンバージェンスは、信頼を大衆に依存しています。ホストは、世界中の複数の接続から契約されます。それらのいずれかが異なる自己署名証明書を見つけた場合、MITM攻撃が行われていることがわかります。何かが間違っているという警告を出すことは、何もしないよりもずっとましです。

要約すると、HTTPS Everywhereには根本的な問題があります。証明書の検証に使用されるソフトウェアに脆弱性がある場合。ユーザーがSSL失敗の影響を理解していない場合。自己署名証明書を使用する場合。最後に、侵害されたPKIがあなたに対して使用されたとき。これは深刻な問題であり、修正に取り組んでいるインテリジェントな人々です。これには、EFFとSSLStripの作者であるMoxie Marlinspikeが含まれます。

21
rook

「HTTPS Everywhere」は、可能な場合は常にSSLを使用することだけを目的としています。つまり、入力またはたどったリンクが同じ名前の非SSLサイト用である場合でも、サイトのSSLバージョンが存在する場合は自動的に使用します。それが「HTTPS Everywhere」のすべてです。

「sslsniff」は、SSL接続を乗っ取る攻撃ツールです。これには2つのことが必要です。

  • 攻撃されたクライアントとサーバー間の着信および発信の低レベルのトラフィックを傍受する方法。 sslsniffは主にARPスプーフィングに依存しているため、攻撃者はクライアントまたはサーバーと同じLAN上にいる必要があります。
  • 攻撃者が制御するルートCAのクライアントブラウザーへの挿入、またはクライアントブラウザーの証明書検証コードのセキュリティホールの悪用。 SSLセキュリティモデルは、クライアントがその証明書を検証することに依存していますアプリオリ既知のルートCA証明書。 sslsniffは、オンザフライで生成された偽の証明書を使用することですが、その証明書は依然としてクライアントに受け入れられる必要があります。

そのため、sslsniffとHTTPS Everywhereの間に実際の接続はありません。 sslsniffはnotを実行して、HTTPSからHTTPへの接続を低下させます。クライアントとサーバーの両方の観点から見ると、それはまだSSLであり、HTTPS Everywhereは完全に満足しています。 sslsniffは、SSLがセキュリティを確保するために使用する証明書検証モデルの違反を活用するための「単なる」ツールです。

8
Tom Leek

...次に、sslsniff攻撃が私に対して成功する可能性はありますか?

はい

SslsniffがHTTPSからHTTPへの接続を低下させたため、攻撃者は情報を入手できますか?

はい

あなたの説明が「sslsniff」の仕組みに正確に適合しないことを付け加えます。 SSLsniffは、単に接続を低下させるのではなく、SSLトラフィックをインターセプトするプロキシのように機能します。言い換えると、SSLsniffはHTTPS接続自体よりも証明書を混乱させます。

これは、「アドオン」が実際にはすべてが正常であると考えている可能性があることを意味します。

または、HTTPS Everywhereを使用する場合、これらの種類の攻撃から「完全に安全」ですか?

いいえ

「ブラウザアドオン」が「システム保護」を提供することを期待しないでください。

あなたに人間の視点を与えるために:あなたもボーイスカウトを戦争に送りませんか?もちろん、彼らは仕事に対応するのに十分であり、十分に能力がないので、そうではありません。 SSLセキュリティに関しては、どちらも単純なブラウザアドオンではありません。

考えてみてください。ブラウザをいじる人なら誰でもアドオンをいじる可能性があります。最悪のシナリオでは、ブラウジング中にセキュアなssl接続が「失われた」ことを知らせず、そのことを知らないようにアドオンを変更することができます。ウイルス、マルウェア、または新しいブラウザのエクスプロイトさえあれば(その個々の悪意のある目的に応じて)、システムを混乱させることができます。

更新:そして、ドメインをHTTPS Everywhereにホワイトリストに登録するとどうなりますか? [xmlファイルを作成できます]。したがって、ドメインはHTTPS経由でのみ利用できます。

ケースと例に戻ると、HTTPS接続について心配しています。ブラウザーはその接続を使用している可能性がありますが、送信または受信しているデータが傍受されていないことや、アドオンが傍受されていることは確認できません。実際、そのような「傍受」を検出することは、「取引ツール」を使用している場合でも、すでにかなり難しい場合があります。 Webブラウザーとそこにあるすべてのアドオンは、そのような「攻撃」を検出する手段を提供していません。とにかくまだ... SSLsniffはHTTPS接続の弱点を示すために作成されました(Webブラウザーに影響するだけではありません)。ブラウザベンダーがそのような脆弱性に対する確実な「修正」を見つけることができるかどうかはまだ分からない。特に、ブラウザの問題ではなく、「接続」と「ネットワークセキュリティ」の問題が多いためです。そして、チェックしたところ http://www.thoughtcrime.org/software/sslsniff/ を見ると、角を曲がったところに私たちを待っているのにすでに多くの問題があることがわかります。これは、SSLsniffツールが取得した追加機能によって表示されます...最近知り、ブラウザのアドオンを使用して修正することを望んでいた問題など、関連する問題を表示するだけです。

とにかく、自分で繰り返して短くしておきます:「ブラウザアドオン」が「システム保護」を提供することを期待しないでください。 、しかしそれはあなたの質問に対する最も短い答えであり、理解しやすいテキストの1行にすべてをまとめます。私のかなり長い答えの残りは単にいくつかの便利です デコレーション 必要に応じていくつかの洞察を提供するための情報。

3
user6373

@LanceBaynes、本当に sslsniff ではなく sslstrip について質問するつもりですか?

Sslsniffは、Microsoft IE6の 非常に特定の脆弱性 を悪用します。これはすべての最新バージョンのIEで修正されており、他のブラウザーには影響しません。特に、Firefoxには影響しません。

HTTPS Everywhereは、Firefoxで利用できるアドオンです。 IEでは使用できません。したがって、HTTPS EverywhereはIEの脆弱性に対する防御にはまったく関係ありません。リンゴとオレンジのようです。 FirefoxのみのアドオンがIEのみの脆弱性を防御するためにできることは何もありません。

Sslstripについて質問するつもりだったと思います。 Sslstripははるかに深刻な攻撃であり、今日でも危険です。これは、HTTPS接続をHTTP接続に変換する中間者攻撃です(または、攻撃者が制御する他のサイトへのHTTPS接続に変換し、そのドメイン名は気付かないほど似ています)。この攻撃は破壊的であり、ユーザーが検出するのは困難です。

HTTPS Everywhereは、sslstripのような攻撃を防御するように設計されています。それが機能する方法は、WebサイトがHTTPSをサポートする大規模なデータベースを用意することです。 WebサイトがHTTPSをサポートしている場合、HTTPS Everywhereは、ブラウザーがHTTPSのみを使用してそれに接続することを保証します。ブラウザーが暗号化されていないHTTP経由で接続することを許可しません。したがって、HTTPS Everywhereは、この種の攻撃を阻止するために部分的に役立ちます。

[〜#〜] hsts [〜#〜] は、sslstripのような攻撃に対するもう1つの防御策です。 HSTSはすべての最新のブラウザーでサポートされています(これはHTTPS Everywhereよりも優れています)。ただし、HSTSではサイトに保護を有効にする必要があります(これはHTTPS Everywhereと比較すると不利です)。

もっと読む:

2
D.W.

SSLSniffに対して脆弱です。

SSLSniffはArp-spoofをMITMとして使用します。つまり、ローカルLAN(またはwifi)に対する脆弱性です。

最新のsslsniffバージョンをテストして、証明書の警告がどのように処理されるかを確認していませんが、リモートサイトへの安全な接続の設定に問題があることをユーザーが示す唯一の兆候です。

2
schroeder