Security Professionals
- ipfw add deny all from eindgebruikers to any
MSIE11 debugger bug
Bug: MSIE11 debugger suggereert dat http request vanaf een HSTS site wordt uitgevoerd
Getest op: MSIE11 fully patched (dus met support voor HSTS) op Windows 7 x64
Reproduceren:
(1) Start MSIE11
(2) Druk op de F12 toets
(3) Selecteer het tabblad "Network" (als deze nog niet geselecteerd is)
(4) Klik op de "Opname" knop linksonder (groene driehoek, deze wijzigt in de rood vierkant zodra de opname loopt)
(5) Voer in als URL: https://hsts.badssl.com/
(6) Constateer dat in de middelste regel van de debugger wordt gesuggereerd dat er een http request naar Internet plaatsvindt, compleet met response met bijbehorende headers (dit gebeurt echter niet, d.w.z. er wordt niet via internet gecommuniceerd).
(7) Constateer ook dat als je de muispijl boven die linkerkolom van de middelste regel laat zweven, er een popupje verschijnt waarin staat: "http://hsts.badssl.com/hsts-test/status.svg" wat suggereert dat deze URL naar Internet is gestuurd (niet waar dus).
Zie https://www.security.nl/posting/447215/Chrome+verwijdert+slot-icoon+voor+HTTPS-sites+met+'foutjes'#posting447415 voor een "plaatje" van wat ik bedoel + uitleg van wat er vermoedelijk aan de hand is.
Ik ben benieuwd hoe MSIE11 in latere Windows versies hiermee omgaat; reacties zijn welkom!
Aanvulling 19-10-2015, 09:35: als je voor het eerst met F12 de debugger in MSIE11 inschakelt, is standaard de "DOM explorer" en niet het tabblad "Network" geselecteerd, waardoor bovenstaande instructie niet klopte. Gecorrigeerd. Sorry hiervoor!
Getest op: MSIE11 fully patched (dus met support voor HSTS) op Windows 7 x64
Reproduceren:
(1) Start MSIE11
(2) Druk op de F12 toets
(3) Selecteer het tabblad "Network" (als deze nog niet geselecteerd is)
(4) Klik op de "Opname" knop linksonder (groene driehoek, deze wijzigt in de rood vierkant zodra de opname loopt)
(5) Voer in als URL: https://hsts.badssl.com/
(6) Constateer dat in de middelste regel van de debugger wordt gesuggereerd dat er een http request naar Internet plaatsvindt, compleet met response met bijbehorende headers (dit gebeurt echter niet, d.w.z. er wordt niet via internet gecommuniceerd).
(7) Constateer ook dat als je de muispijl boven die linkerkolom van de middelste regel laat zweven, er een popupje verschijnt waarin staat: "http://hsts.badssl.com/hsts-test/status.svg" wat suggereert dat deze URL naar Internet is gestuurd (niet waar dus).
Zie https://www.security.nl/posting/447215/Chrome+verwijdert+slot-icoon+voor+HTTPS-sites+met+'foutjes'#posting447415 voor een "plaatje" van wat ik bedoel + uitleg van wat er vermoedelijk aan de hand is.
Ik ben benieuwd hoe MSIE11 in latere Windows versies hiermee omgaat; reacties zijn welkom!
Aanvulling 19-10-2015, 09:35: als je voor het eerst met F12 de debugger in MSIE11 inschakelt, is standaard de "DOM explorer" en niet het tabblad "Network" geselecteerd, waardoor bovenstaande instructie niet klopte. Gecorrigeerd. Sorry hiervoor!
Reacties (11)
De [Network] tab in IE11 suggereert inderdaad dat de HTTP call uitgevoerd wordt en er een HTTP 301 (Moved permanently) naar HTTPS gedaan wordt terwijl je met een netwerk-sniffer/proxy duidelijk kan zien dat de HTTP call niet echt gemaakt wordt; alleen beide HTTPS calls. Niet echt handig van MS, maar goed, klinkt eerder als een ontbrekend GUI signalering dan een bug.
Je moet sowieso nooit browser plugins 100% vertrouwen als het op http headers en cookies (of de echte low-level nitty gritty netwerk meuk) aankomt, gebruik dan altijd een netwerk-sniffer (WireShark) of standalone (MiTM) proxy als Burp, Fiddler of ZAP. Die plugins zijn an sich best aardig, maar maximaal 99% correct en juist al die randgevallen zijn interessant ... je wil niet weten hoe vaak ik discussies heb gehad met developers die zeggen 'maar de browser console/plugin zegt bla bla bla' waarbij achteraf blijkt dat het net lichtelijk anders blijkt te zijn.
Je moet sowieso nooit browser plugins 100% vertrouwen als het op http headers en cookies (of de echte low-level nitty gritty netwerk meuk) aankomt, gebruik dan altijd een netwerk-sniffer (WireShark) of standalone (MiTM) proxy als Burp, Fiddler of ZAP. Die plugins zijn an sich best aardig, maar maximaal 99% correct en juist al die randgevallen zijn interessant ... je wil niet weten hoe vaak ik discussies heb gehad met developers die zeggen 'maar de browser console/plugin zegt bla bla bla' waarbij achteraf blijkt dat het net lichtelijk anders blijkt te zijn.
16-10-2015, 13:38 door
leech
Perfect antwoord van Anoniem. :
Je moet sowieso nooit browser plugins 100% vertrouwen als het op http headers en cookies (of de echte low-level nitty gritty netwerk meuk) aankomt, gebruik dan altijd een netwerk-sniffer (WireShark) of standalone (MiTM) proxy als Burp, Fiddler of ZAP. Die plugins zijn an sich best aardig, maar maximaal 99% correct en juist al die randgevallen zijn interessant ... je wil niet weten hoe vaak ik discussies heb gehad met developers die zeggen 'maar de browser console/plugin zegt bla bla bla' waarbij achteraf blijkt dat het net lichtelijk anders blijkt te zijn
Je moet sowieso nooit browser plugins 100% vertrouwen als het op http headers en cookies (of de echte low-level nitty gritty netwerk meuk) aankomt, gebruik dan altijd een netwerk-sniffer (WireShark) of standalone (MiTM) proxy als Burp, Fiddler of ZAP. Die plugins zijn an sich best aardig, maar maximaal 99% correct en juist al die randgevallen zijn interessant ... je wil niet weten hoe vaak ik discussies heb gehad met developers die zeggen 'maar de browser console/plugin zegt bla bla bla' waarbij achteraf blijkt dat het net lichtelijk anders blijkt te zijn
16-10-2015, 13:52 door
Erik van Straten
15-10-2015, 17:34 door Anoniem: Je moet sowieso nooit browser plugins 100% vertrouwen als het op http headers en cookies (of de echte low-level nitty gritty netwerk meuk) aankomt
Ik zie nergens dat "Developer Tools", welke bij mijn weten standaard worden meegeleverd bij MSIE11, een browser plugin is.In elk geval onder "Manage add-ons" kan ik hier niets over terugvinden (gezocht met het drop-down menu links in alle mogelijke standen, omdat "All addons" niet alles toont, d.w.z. minder items noemt dan "Run without permission" - maar dat is een unrelated topic/ergernis).
Waarop baseer jij dat "Developer Tools" in MSIE11 een plugin is? Hoe moet je dat weten als ontwikkelaar?
En, als dat zo is, zou ik deze o.a. uit moeten kunnen schakelen of zelfs verwijderen - hoe doe ik dat?
corectie ik maakte een fout bij testen. Zie mijn bijdrage van 01:03 uur
Even gekeken maar ik zie niets bijzonders (of ik kijk niet goed) behalve dat IE11 met Developer tools/ debugger geopend lijkt te crashen op security.nl Verder kreeg ik ook nog een melding van EMET maar die lijkt samen te gaan met de andere website die ik open had staan en niets te maken te hebben met de in dit topic besproken websites. Al meld ik het even voor de zekerheid mocht iemand hier hetzelfde hebben ervaren.
Windows 8.1 x64
Even gekeken maar ik zie niets bijzonders (of ik kijk niet goed) behalve dat IE11 met Developer tools/ debugger geopend lijkt te crashen op security.nl Verder kreeg ik ook nog een melding van EMET maar die lijkt samen te gaan met de andere website die ik open had staan en niets te maken te hebben met de in dit topic besproken websites. Al meld ik het even voor de zekerheid mocht iemand hier hetzelfde hebben ervaren.
Windows 8.1 x64
Hoi Erik, op Windows 7 heb ik het geen wat je omschreef in je startpost inmiddels kunnen reproduceren. Morgen kijk ik even opnieuw bij Windows 8.1 en IE11.
p.s. het groene driehoekje zit links boven ;-)
p.s. het groene driehoekje zit links boven ;-)
resultaten IE11 op mijn pc met Windows 8.1 x64 bij het bezoeken van https://hsts.badssl.com/
url, protecol, Methode, resultaat, Type, Gebruikt, Initiator
----------------------------------------
https://hsts.badssl.com/
HTTPS
GET
200
text/html
0,57 s
navigeren
--------------------------------------
/hsts-test/status.svg
HTTP
GET
301
-
31 ms
<img>
--------------------------------------
/hsts-test/status.svg
HTTP
GET
200
image/svg+xml
125 ms
<img>
-------------------------------------
Zelfde dus als met IE11 in Windows 7 als ik mij niet vergis.
url, protecol, Methode, resultaat, Type, Gebruikt, Initiator
----------------------------------------
https://hsts.badssl.com/
HTTPS
GET
200
text/html
0,57 s
navigeren
--------------------------------------
/hsts-test/status.svg
HTTP
GET
301
-
31 ms
<img>
--------------------------------------
/hsts-test/status.svg
HTTP
GET
200
image/svg+xml
125 ms
<img>
-------------------------------------
Zelfde dus als met IE11 in Windows 7 als ik mij niet vergis.
19-10-2015, 09:40 door
Erik van Straten
Ha _kraai__, dank voor jouw reacties!
Dus ook onder Win 8.1 suggereert de network-level debugger dat er via http een bestand is opgehaald. Uit de relatief korte tijd van 31 ms. zou je kunnen opmaken dat er geen netwerkverkeer heeft plaatsgevonden. Echter, ervan uitgaande dat een http connectie sneller opgezet kan worden, zou de verbinding ook echt bestaan kunnen hebben natuurlijk.
Conclusie: ook onder Windows 8.1 houdt deze in MSIE11 ingebouwde debugger je voor de gek indien HSTS wordt gebruikt en een http call daardoor wordt afgevangen.
Dus ook onder Win 8.1 suggereert de network-level debugger dat er via http een bestand is opgehaald. Uit de relatief korte tijd van 31 ms. zou je kunnen opmaken dat er geen netwerkverkeer heeft plaatsgevonden. Echter, ervan uitgaande dat een http connectie sneller opgezet kan worden, zou de verbinding ook echt bestaan kunnen hebben natuurlijk.
Conclusie: ook onder Windows 8.1 houdt deze in MSIE11 ingebouwde debugger je voor de gek indien HSTS wordt gebruikt en een http call daardoor wordt afgevangen.
Eventueel kan ik met wireshark even controlleren over er http verkeer heeft plaatsgevonden. Ik weet niet of dit zin heeft?
Ben je overigens van plan Microsoft te schrijven over de bevindingen in dit topic en in je reactie https://www.security.nl/posting/447215/Chrome+verwijdert+slot-icoon+voor+HTTPS-sites+met+'foutjes'#posting447415?
Ben je overigens van plan Microsoft te schrijven over de bevindingen in dit topic en in je reactie https://www.security.nl/posting/447215/Chrome+verwijdert+slot-icoon+voor+HTTPS-sites+met+'foutjes'#posting447415?
20-10-2015, 09:23 door
Erik van Straten
19-10-2015, 18:24 door _kraai__: Eventueel kan ik met wireshark even controlleren over er http verkeer heeft plaatsgevonden. Ik weet niet of dit zin heeft?
Als er bij het bezoeken van https://hsts.badssl.com/ onderaan staat "v HSTS is working" is er geen informatie via http uitgewisseld, want die site stuurt geen "redirect" opdracht bij de melding dat HSTS niet werkt. Desgewenst kun je dit met Wireshark verifiëren.19-10-2015, 18:24 door _kraai__: Ben je overigens van plan Microsoft te schrijven over de bevindingen in dit topic en in je reactie https://www.security.nl/posting/447215/Chrome+verwijdert+slot-icoon+voor+HTTPS-sites+met+'foutjes'#posting447415?
Nee, in mijn ervaring is dat tijdverspilling (Microsoft za het zeer waarschijnlijk niet als een security issue classificeren, dus moet ik eerst uitzoeken waar ik dit wel moet melden, om vervolgens te horen dat ik een support-account moet hebben, om daarna meerdere mails te moeten sturen voordat iemand het snapt, om uiteindelijk te horen te krijgen dat ze dit niet zullen fixen).Door Erik van Straten 20-10-2015 09:23uur:
Als er bij het bezoeken van https://hsts.badssl.com/ onderaan staat "v HSTS is working" is er geen informatie via http uitgewisseld, want die site stuurt geen "redirect" opdracht bij de melding dat HSTS niet werkt. Desgewenst kun je dit met Wireshark verifiëren.
Als er bij het bezoeken van https://hsts.badssl.com/ onderaan staat "v HSTS is working" is er geen informatie via http uitgewisseld, want die site stuurt geen "redirect" opdracht bij de melding dat HSTS niet werkt. Desgewenst kun je dit met Wireshark verifiëren.
Ik kreeg de melding "v HSTS is working" bij het bezoeken van https://hsts.badssl.com/, dus als ik het goed begrijp is er geen http verkeer geweest.
Door Erik van Straten 20-10-2015 09:23 uur:
Nee, in mijn ervaring is dat tijdverspilling (Microsoft za het zeer waarschijnlijk niet als een security issue classificeren, dus moet ik eerst uitzoeken waar ik dit wel moet melden, om vervolgens te horen dat ik een support-account moet hebben, om daarna meerdere mails te moeten sturen voordat iemand het snapt, om uiteindelijk te horen te krijgen dat ze dit niet zullen fixen).
Nee, in mijn ervaring is dat tijdverspilling (Microsoft za het zeer waarschijnlijk niet als een security issue classificeren, dus moet ik eerst uitzoeken waar ik dit wel moet melden, om vervolgens te horen dat ik een support-account moet hebben, om daarna meerdere mails te moeten sturen voordat iemand het snapt, om uiteindelijk te horen te krijgen dat ze dit niet zullen fixen).
Oké bedankt, ik was hier benieuwd naar. Ik heb hier zelf geen ervaring mee, maar als ik dit zo lees dan begrijp ik je keuze goed. Ik ben eigenlijk wel een beetje nieuwschierig nu hoe de debbuger Microsoft edge hier mee omgaat. Of is dat de zelfde als in IE11? Hier heb ik geen ervaring mee namelijk.
21-10-2015, 14:38 door
Erik van Straten
@_kraai__: ik heb Edge nog nooit gebruikt en dus geen idee of daar een debugger in zit, noch hoe Edge met HSTS omgaat.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
