RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

2.3.1. Адресные угрозы

2.3.1.1. Пассивные сетевые атакеры

Когда пользователь просматривает web в локальной беспроводной сети (напр., беспроводная локальная сеть 802.11), близкий атакер может прослушивать незашифрованное Интернет-соединение пользователя, такое как HTTP, вне зависимости от того, является ли беспроводная локальная сеть безопасной [BeckTews09]. Свободно доступные беспроводные средства прослушивания (напр., [Aircrack-ng]) делают возможными такие атаки пассивного прослушивания, даже если локальная беспроводная сеть работает в безопасном режиме. Пассивный сетевой атакер, использующий такой инструментарий, может украсть параметры доступа к сессии и куки, а также перехватить сессию пользователя путем получения куки, содержащего параметры аутентификации, [ForceHTTPS]. Например, существуют широко доступные средства, такие как Firesheep (расширение web-браузера) [Firesheep], которые позволяют получить куки сессий других пользователей для различных web-приложений.

Чтобы ослабить такие угрозы, некоторые web-сайты поддерживают, но не требуют, доступа с использованием безопасного транспорта точка-точка — напр., запрашиваемого через URI, сформированного по схеме "https" [RFC-2818]. Это может заставить пользователя поверить, что доступ к таким сервисам с использованием безопасного транспорта защищает их от пассивных сетевых атак. К сожалению, это часто не так, так как идентификаторы сессии оказываются записаны в небезопасных куки, что обеспечивает совместимость с версиями сервиса, предлагаемого через небезопасный транспортный канал ("Secure cookies" — это куки, содержащие атрибут "Secure" [RFC-6265]). Например, если идентификатор сессии для web-сайта записан в небезопасном куки, атакер может перехватить сессию пользователя, если агент пользователя сделает один небезопасный HTTP-запрос на сайт.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.