Security Professionals - ipfw add deny all from eindgebruikers to any

MSIE11 debugger bug

15-10-2015, 14:14 door Erik van Straten, 11 reacties
Laatst bijgewerkt: 19-10-2015, 09:35
Bug: MSIE11 debugger suggereert dat http request vanaf een HSTS site wordt uitgevoerd
Getest op: MSIE11 fully patched (dus met support voor HSTS) op Windows 7 x64

Reproduceren:
(1) Start MSIE11
(2) Druk op de F12 toets
(3) Selecteer het tabblad "Network" (als deze nog niet geselecteerd is)
(4) Klik op de "Opname" knop linksonder (groene driehoek, deze wijzigt in de rood vierkant zodra de opname loopt)
(5) Voer in als URL: https://hsts.badssl.com/
(6) Constateer dat in de middelste regel van de debugger wordt gesuggereerd dat er een http request naar Internet plaatsvindt, compleet met response met bijbehorende headers (dit gebeurt echter niet, d.w.z. er wordt niet via internet gecommuniceerd).
(7) Constateer ook dat als je de muispijl boven die linkerkolom van de middelste regel laat zweven, er een popupje verschijnt waarin staat: "http://hsts.badssl.com/hsts-test/status.svg" wat suggereert dat deze URL naar Internet is gestuurd (niet waar dus).

Zie https://www.security.nl/posting/447215/Chrome+verwijdert+slot-icoon+voor+HTTPS-sites+met+'foutjes'#posting447415 voor een "plaatje" van wat ik bedoel + uitleg van wat er vermoedelijk aan de hand is.

Ik ben benieuwd hoe MSIE11 in latere Windows versies hiermee omgaat; reacties zijn welkom!

Aanvulling 19-10-2015, 09:35: als je voor het eerst met F12 de debugger in MSIE11 inschakelt, is standaard de "DOM explorer" en niet het tabblad "Network" geselecteerd, waardoor bovenstaande instructie niet klopte. Gecorrigeerd. Sorry hiervoor!
Reacties (11)
15-10-2015, 17:34 door Anoniem
De [Network] tab in IE11 suggereert inderdaad dat de HTTP call uitgevoerd wordt en er een HTTP 301 (Moved permanently) naar HTTPS gedaan wordt terwijl je met een netwerk-sniffer/proxy duidelijk kan zien dat de HTTP call niet echt gemaakt wordt; alleen beide HTTPS calls. Niet echt handig van MS, maar goed, klinkt eerder als een ontbrekend GUI signalering dan een bug.

Je moet sowieso nooit browser plugins 100% vertrouwen als het op http headers en cookies (of de echte low-level nitty gritty netwerk meuk) aankomt, gebruik dan altijd een netwerk-sniffer (WireShark) of standalone (MiTM) proxy als Burp, Fiddler of ZAP. Die plugins zijn an sich best aardig, maar maximaal 99% correct en juist al die randgevallen zijn interessant ... je wil niet weten hoe vaak ik discussies heb gehad met developers die zeggen 'maar de browser console/plugin zegt bla bla bla' waarbij achteraf blijkt dat het net lichtelijk anders blijkt te zijn.
16-10-2015, 13:38 door leech
Perfect antwoord van Anoniem. :
Je moet sowieso nooit browser plugins 100% vertrouwen als het op http headers en cookies (of de echte low-level nitty gritty netwerk meuk) aankomt, gebruik dan altijd een netwerk-sniffer (WireShark) of standalone (MiTM) proxy als Burp, Fiddler of ZAP. Die plugins zijn an sich best aardig, maar maximaal 99% correct en juist al die randgevallen zijn interessant ... je wil niet weten hoe vaak ik discussies heb gehad met developers die zeggen 'maar de browser console/plugin zegt bla bla bla' waarbij achteraf blijkt dat het net lichtelijk anders blijkt te zijn
16-10-2015, 13:52 door Erik van Straten
15-10-2015, 17:34 door Anoniem: Je moet sowieso nooit browser plugins 100% vertrouwen als het op http headers en cookies (of de echte low-level nitty gritty netwerk meuk) aankomt
Ik zie nergens dat "Developer Tools", welke bij mijn weten standaard worden meegeleverd bij MSIE11, een browser plugin is.

In elk geval onder "Manage add-ons" kan ik hier niets over terugvinden (gezocht met het drop-down menu links in alle mogelijke standen, omdat "All addons" niet alles toont, d.w.z. minder items noemt dan "Run without permission" - maar dat is een unrelated topic/ergernis).

Waarop baseer jij dat "Developer Tools" in MSIE11 een plugin is? Hoe moet je dat weten als ontwikkelaar?
En, als dat zo is, zou ik deze o.a. uit moeten kunnen schakelen of zelfs verwijderen - hoe doe ik dat?
16-10-2015, 20:26 door [Account Verwijderd] - Bijgewerkt: 19-10-2015, 01:09
corectie ik maakte een fout bij testen. Zie mijn bijdrage van 01:03 uur

Even gekeken maar ik zie niets bijzonders (of ik kijk niet goed) behalve dat IE11 met Developer tools/ debugger geopend lijkt te crashen op security.nl Verder kreeg ik ook nog een melding van EMET maar die lijkt samen te gaan met de andere website die ik open had staan en niets te maken te hebben met de in dit topic besproken websites. Al meld ik het even voor de zekerheid mocht iemand hier hetzelfde hebben ervaren.

Windows 8.1 x64
18-10-2015, 00:37 door [Account Verwijderd] - Bijgewerkt: 18-10-2015, 00:38
Hoi Erik, op Windows 7 heb ik het geen wat je omschreef in je startpost inmiddels kunnen reproduceren. Morgen kijk ik even opnieuw bij Windows 8.1 en IE11.

p.s. het groene driehoekje zit links boven ;-)
19-10-2015, 01:03 door [Account Verwijderd] - Bijgewerkt: 19-10-2015, 01:10
resultaten IE11 op mijn pc met Windows 8.1 x64 bij het bezoeken van https://hsts.badssl.com/


url, protecol, Methode, resultaat, Type, Gebruikt, Initiator
----------------------------------------
https://hsts.badssl.com/
HTTPS
GET
200
text/html
0,57 s
navigeren
--------------------------------------
/hsts-test/status.svg
HTTP
GET
301
-
31 ms
<img>
--------------------------------------
/hsts-test/status.svg
HTTP
GET
200
image/svg+xml
125 ms
<img>
-------------------------------------

Zelfde dus als met IE11 in Windows 7 als ik mij niet vergis.
19-10-2015, 09:40 door Erik van Straten
Ha _kraai__, dank voor jouw reacties!

Dus ook onder Win 8.1 suggereert de network-level debugger dat er via http een bestand is opgehaald. Uit de relatief korte tijd van 31 ms. zou je kunnen opmaken dat er geen netwerkverkeer heeft plaatsgevonden. Echter, ervan uitgaande dat een http connectie sneller opgezet kan worden, zou de verbinding ook echt bestaan kunnen hebben natuurlijk.

Conclusie: ook onder Windows 8.1 houdt deze in MSIE11 ingebouwde debugger je voor de gek indien HSTS wordt gebruikt en een http call daardoor wordt afgevangen.
19-10-2015, 18:24 door [Account Verwijderd]
Eventueel kan ik met wireshark even controlleren over er http verkeer heeft plaatsgevonden. Ik weet niet of dit zin heeft?

Ben je overigens van plan Microsoft te schrijven over de bevindingen in dit topic en in je reactie https://www.security.nl/posting/447215/Chrome+verwijdert+slot-icoon+voor+HTTPS-sites+met+'foutjes'#posting447415?
20-10-2015, 09:23 door Erik van Straten
19-10-2015, 18:24 door _kraai__: Eventueel kan ik met wireshark even controlleren over er http verkeer heeft plaatsgevonden. Ik weet niet of dit zin heeft?
Als er bij het bezoeken van https://hsts.badssl.com/ onderaan staat "v HSTS is working" is er geen informatie via http uitgewisseld, want die site stuurt geen "redirect" opdracht bij de melding dat HSTS niet werkt. Desgewenst kun je dit met Wireshark verifiëren.

19-10-2015, 18:24 door _kraai__: Ben je overigens van plan Microsoft te schrijven over de bevindingen in dit topic en in je reactie https://www.security.nl/posting/447215/Chrome+verwijdert+slot-icoon+voor+HTTPS-sites+met+'foutjes'#posting447415?
Nee, in mijn ervaring is dat tijdverspilling (Microsoft za het zeer waarschijnlijk niet als een security issue classificeren, dus moet ik eerst uitzoeken waar ik dit wel moet melden, om vervolgens te horen dat ik een support-account moet hebben, om daarna meerdere mails te moeten sturen voordat iemand het snapt, om uiteindelijk te horen te krijgen dat ze dit niet zullen fixen).
20-10-2015, 19:30 door [Account Verwijderd]
Door Erik van Straten 20-10-2015 09:23uur:
Als er bij het bezoeken van https://hsts.badssl.com/ onderaan staat "v HSTS is working" is er geen informatie via http uitgewisseld, want die site stuurt geen "redirect" opdracht bij de melding dat HSTS niet werkt. Desgewenst kun je dit met Wireshark verifiëren.

Ik kreeg de melding "v HSTS is working" bij het bezoeken van https://hsts.badssl.com/, dus als ik het goed begrijp is er geen http verkeer geweest.

Door Erik van Straten 20-10-2015 09:23 uur:
Nee, in mijn ervaring is dat tijdverspilling (Microsoft za het zeer waarschijnlijk niet als een security issue classificeren, dus moet ik eerst uitzoeken waar ik dit wel moet melden, om vervolgens te horen dat ik een support-account moet hebben, om daarna meerdere mails te moeten sturen voordat iemand het snapt, om uiteindelijk te horen te krijgen dat ze dit niet zullen fixen).

Oké bedankt, ik was hier benieuwd naar. Ik heb hier zelf geen ervaring mee, maar als ik dit zo lees dan begrijp ik je keuze goed. Ik ben eigenlijk wel een beetje nieuwschierig nu hoe de debbuger Microsoft edge hier mee omgaat. Of is dat de zelfde als in IE11? Hier heb ik geen ervaring mee namelijk.
21-10-2015, 14:38 door Erik van Straten
@_kraai__: ik heb Edge nog nooit gebruikt en dus geen idee of daar een debugger in zit, noch hoe Edge met HSTS omgaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.