RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

14.5. Отказ обслуживания

HSTS может использоваться для формирования определенных форм атак отказа обслуживания (DoS) против web-сайтов. DoS-атакой является такая атака, когда один или более сетевых объектов-мишеней не могут выполнять полезную работу. Смотри также [RFC-4732].

  • Web-приложения доступные через HTTP

  • Имеется возможность для осуществления DoS-атак с web-приложениями (или критической частью их), которые доступны только через HTTP через небезопасный канал, если атакер может вынудить агента пользователя установить политику HSTS для компьютера такого web-приложения.

    Это происходит потому, что раз политика HSTS установлена для машины web-приложения в агенте пользователя, агент пользователя будет использовать только безопасный канал для взаимодействия с этим компьютером. Если машина не использует безопасный канал или не использует его для критической доли своих web-приложений, тогда web-приложение будет считаться не реализуемым для агента пользователя.

    Политика HSTS может быть определена для машины-жертвы различными способами:

    • Если web-приложение содержит уязвимость расщепления HTTP-отклика [CWE-113] (которое может быть использовано, чтобы реализовать "HTTP header injection").

    • Если атакер может фальсифицировать переадресацию с небезопасного сайта жертвы, напр., <http://example.com/> на <https://example.com/>, где последний сайт полностью контролируется атакером и имеет корректный сертификат. В этой ситуации, атакер может установить политику HSTS для example.com, а также для всех доменов example.com.

    • Если атакер может убедить пользователей вручную сконфигурировать политику HSTS для машины-жертвы. Это предполагает, что агенты пользователя предлагают такую возможность (смотри раздел 12 ("User Agent Implementation Advice")). Напротив, если конфигурация агента пользователя реализуется с привлечением скрипта, тогда атакер может вынудить агента пользователя исполнить скрипт и установить HSTS-политики для каких угодно доменов.

  • Непреднамеренное (некорректное) использование includeSubDomains

  • Директива includeSubDomains инструктирует агента пользователя связать автоматически все субдомены данного HSTS-компьютера в качестве известных HSTS-компьютеров. Если какие-то из этих субдоменов не поддерживают корректно сконфигурированные безопасные каналы, тогда для таких агентов пользователя они объявляются недостижимыми.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.