image

Microsoft geeft meer details over HSTS-beveiliging in IE

dinsdag 17 februari 2015, 10:08 door Redactie, 5 reacties

Vorige maand werd bekend dat Microsoft eindelijk HTTP Strict Transport Security (HSTS) aan Internet Explorer gaat toevoegen, wat gebruikers tegen Man-in-the-Middle-aanvallen moet beschermen. Nu heeft de softwaregigant meer details over de beveiligingsmaatregel gegeven.

HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. Zodoende wordt er geen informatie over het onbeveiligde HTTP verstuurd. HSTS biedt websites twee mogelijkheden om hun verbindingen met bezoekers te beveiligen.

De eerste optie is het registreren van de website op een lijst die door Internet Explorer en andere browsers wordt geladen, waarbij het HTTP-verkeer direct naar HTTPS wordt doorgezet. Hierbij maakt IE gebruik van de Chromium HSTS-lijst. Chromium is de opensourcebrowser waarop Google Chrome is gebaseerd. De tweede optie is het aanbieden van een HSTS-header. In dit geval zal de browser nadat die de website voor de eerste keer via HTTPS heeft bezocht, alle toekomstige HTTP-verbindingen via HTTPS laten lopen.

Microsoft waarschuwt dat HSTS twee belangrijke gevolgen voor gebruikers kan hebben. Als er namelijk een certificaatwaarschuwing verschijnt zal de gebruiker die niet kunnen negeren en moet hij de verbinding verbreken. Daarnaast wordt op HSTS-sites geen gemengde content ondersteund. Alle content moet via HTTPS worden aangeboden. Dit kan voor websites een probleem zijn waar bijvoorbeeld advertenties en afbeeldingen over HTTP worden geladen. De HSTS-feature is nu al in de Windows 10 Technical Preview te testen en zal later ook aan de Project Spartan-browser van het nieuwe besturingssysteem worden toegevoegd.

Reacties (5)
17-02-2015, 16:29 door Anoniem
'wat gebruikers tegen Man-in-the-Middle-aanvallen moet beschermen'.

De bovenste zin uit het artikel klopt niet. Zoals verder in het artikel wordt gezegd, HSTS is bedoeld om een gebruiker altijd de HTTPS versie van een website te laten gebruiken als deze beschikbaar is. HSTS zelf beschermt je niet tegen MITM. Met HTTPS wordt je data geencrypt aan de begin van de lijn en aan het einde van de lijn wordt deze gedecrypt, hiermee wordt geprobeerd je te beschermen tegen MITM.
17-02-2015, 17:09 door Anoniem
@ 16:29, Microsoft is het niet met je eens:

The HSTS policy protects against variants of man-in-the-middle attacks that can strip TLS out of communications with a server, leaving the user vulnerable.
17-02-2015, 17:24 door Anoniem
Door Anoniem: 'wat gebruikers tegen Man-in-the-Middle-aanvallen moet beschermen'.

De bovenste zin uit het artikel klopt niet. Zoals verder in het artikel wordt gezegd, HSTS is bedoeld om een gebruiker altijd de HTTPS versie van een website te laten gebruiken als deze beschikbaar is. HSTS zelf beschermt je niet tegen MITM. Met HTTPS wordt je data geencrypt aan de begin van de lijn en aan het einde van de lijn wordt deze gedecrypt, hiermee wordt geprobeerd je te beschermen tegen MITM.

Hoe snel kun je jezelf tegenspreken: "Het beschermt je niet, maar het probeert je wel te beschermen..."

Op zich een goede opmerking dat HSTS zelf je niet beschermt, maar dat geldt natuurlijk voor de meeste technieken. Die moeten het moeilijker maken een MITM aanval uit te kunnen voeren.
17-02-2015, 17:53 door Anoniem
Door Anoniem: 'wat gebruikers tegen Man-in-the-Middle-aanvallen moet beschermen'.

De bovenste zin uit het artikel klopt niet. Zoals verder in het artikel wordt gezegd, HSTS is bedoeld om een gebruiker altijd de HTTPS versie van een website te laten gebruiken als deze beschikbaar is. HSTS zelf beschermt je niet tegen MITM. Met HTTPS wordt je data geencrypt aan de begin van de lijn en aan het einde van de lijn wordt deze gedecrypt, hiermee wordt geprobeerd je te beschermen tegen MITM.
HTTPS beschermd je ook niet tegen MITM. HTTPS beschermd je data tegen passieve luisteraars. Met OSCP en CRL's wordt (slecht) geprobeerd je te beschermen tegen MITM. HPKP is al een beter initiatief maar de ondersteuning is nog zeer beperkt.
18-02-2015, 08:26 door Anoniem
Door Anoniem:
Door Anoniem: 'wat gebruikers tegen Man-in-the-Middle-aanvallen moet beschermen'.

De bovenste zin uit het artikel klopt niet. Zoals verder in het artikel wordt gezegd, HSTS is bedoeld om een gebruiker altijd de HTTPS versie van een website te laten gebruiken als deze beschikbaar is. HSTS zelf beschermt je niet tegen MITM. Met HTTPS wordt je data geencrypt aan de begin van de lijn en aan het einde van de lijn wordt deze gedecrypt, hiermee wordt geprobeerd je te beschermen tegen MITM.

Hoe snel kun je jezelf tegenspreken: "Het beschermt je niet, maar het probeert je wel te beschermen..."

Op zich een goede opmerking dat HSTS zelf je niet beschermt, maar dat geldt natuurlijk voor de meeste technieken. Die moeten het moeilijker maken een MITM aanval uit te kunnen voeren.

Lees aub nog een keer wat er staat. Ik geef aan dat HTTPS door middel van encryption PROBEERT(geen verzekering) te voorkomen dat derden je data kunnen meelezen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.