Ietf91報告 httpbis-httpauth

3. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ 自己紹介  名前  前田薫  所属  株式会社レピダムシニアプログラママネージャ  コミュニティー活動  Lightweight Language  Identity Conference  http2勉強会  業務領域  認証・認可、デジタルアイデンティティー、プライバシー  標準化支援  ソフトウェアセキュリティー、脆弱性 IETF91報告会2014/12/19 3

5. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ httpbis WG  Tuesday  HTTP/2: 9.2.2問題、クライアント認証他  Wednesday  HTTP/2: 日本からの報告  proxy関連他  議事録  https://github.com/httpwg/wg-materials/blob/gh- pages/ietf91/minutes.md IETF91報告会2014/12/19 5

6. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ HTTP/2 Status as of Today  HTTP/2 draft-16, HPACK draft-10  draft-ietf-httpbis-http2-16  draft-ietf-httpbis-header-compression-10  主要な論点は議論が終わり、publication request が出された  Honoluluでの議論が反映されたバージョン IETF91報告会2014/12/19 6

8. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ 9.2.2問題  HTTP/2仕様のセクション9.2.2  HTTP/2はcipher suiteに関する制限が強い  ephemeral key exchange (DHE, ECDHE), 圧縮なし, etc.  INADEQUATE_SECURITYで接続を切る(MUST)  TLSのcipher negotiationとALPNが協調して cipheを選択しなければならない  どちらの標準にもそんなことは記述がない IETF91報告会2014/12/19 8

9. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ white list案 9.2.2解決案  以下の6ステップで  1. Make cipher suite requirements specific to TLS 1.2  2. Nominate a fixed list of suites for use with H2+TLS12  3. Keep the required interop suite (mandatory to deploy)  4. Clarify that cipher suite requirements apply to deployments, not impl  5. Relax requirement to generate INADEQUATE_SECURITY  6. Require support for TLS_FALLBACK_SCSV w/ TLS1.3+ (?) IETF91報告会2014/12/19 9

10. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ 議論の結果  black list案:  既知のダメなスイートを静的に持つ  white list案では新規スイートが使われない  if the cipher suite selected for h2 is...  BAD = peer MAY INADEQUATE_SECURITY  !BAD = peer MUST NOT INADEQUATE_SECURITY  BAD: fixed in-spec black list  → draft-16では276個のcipher suiteを禁止  生き残ったのが42個 IETF91報告会2014/12/19 10

11. #http2study http2.info

12. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ HTTP/2 Local Activities in Japan  急遽5分もらって発表  http2 conference紹介  最速実装ライブコーディング  実装一覧  活動紹介「issuethon」  nghttp2  リファレンス実装 IETF91報告会2014/12/19 12

13. Other Issues

14. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Client Authentication over New TLS Connection  draft-thomson-httpbis-cant  HTTP/2 over TLS1.2 や TLS1.3ではrenegotiationが禁止される/存在しない  spontaneous client authentication  connectionを使い回している状態で後から認証が必要になった場合  これまではrenegotiationで対応していた  今後は401を返し、TLS接続からやり直す  そのためのヘッダを提案  401 Unauthorized WWW-Authenticate: ClientCertificate realm="home", sha- 256=NjUw... IETF91報告会2014/12/19 14

15. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Proxies  Web Proxy Description draft-nottingham-web-proxy-desc  WPD Proxiesというのを定義しよう  MUST support HTTP/2; Clients MUST use HTTP/2 over TLS  SHOULD support CONNECT  Web Proxy Description (WPD) Format (JSON)も定義  PACは?  trusted middleboxはセキュリティー上はよくない。 PRISMのような場合、システム管理者をねらってエンドユーザーに知られずに盗聴しかけるのが心配  explicitly configured and working on behalf of user agentというのはいまのプロキシの実態に合っていない。いまのプロキシはon behalf of networkで動いている  middle-boxの扱いについてはi2rs BoFもある。AD預かり IETF91報告会2014/12/19 15

16. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Proxies  WPD Proxy Discovery  http://www.ietf.org/proceedings/91/slides/slides-91- httpbis-0.pdf  draft-chow-httpbis-proxy-discovery-00  https://??authority??/.well-known/web-desc-proxy  誰に聞くかという問題がある。ここでhttpsであることが重要  オリジンauthorityを送るとMITM可能という問題  最初に返事した者が正しいという保証はない。特にhotspotでは。最初のauthorityをどこに書くか  本来security areaで扱うべき問題では? IETF91報告会2014/12/19 16

18. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ httpauth WG  Friday  character set  Basic Update  Digest Update  HOBA  議事録  http://tools.ietf.org/wg/httpauth/minutes IETF91報告会2014/12/19 18

19. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Allowed character set issue  ログイン名やパスワードに使用できる文字セットをprecis WGで検討中  saslprepbisとbasic authの間でidentifierに使用できる文字セットに違いがある  例: black chess king「♚」  saslprepbisでは禁止  basic authでは特に禁止されていない  Precisで安全な文字として定義されたものは Basic認証でも使えなければならない(MUST)  それ以外のものも使えてもよい(MAY) IETF91報告会2014/12/19 19

20. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Basic認証  draft-ietf-httpauth-basicauth-update-03  新しいパラメータ  charset  WWW-Authenticate: Basic realm="foo", charset="UTF-8"  username: MLで提案されたが採用はせず  extensibility  レジストリを用意するほどではない  character setはprecis WGの成果にしたがう IETF91報告会2014/12/19 20

21. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Digest認証  draft-ietf-httpauth-digest-09  WGLCは終了。メジャーな問題はない  Unicode NFC/NFDの問題  Unicode正規化前後で認証不可能  クライアントは正規化しなければならない(MUST)  サーバー処理は明示せず  charset: 明示しないと相互運用性の問題に  明示するとしたらUTF-8がISO-8859-1よりよい  再度のWGLC (Basicの後) IETF91報告会2014/12/19 21

22. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ HTTP Origin-Bound Authentication  HOBA  draft-ietf-httpauth-hoba-07  クライアント側でキーペアを作成することにより認証  IESGへ送られた IETF91報告会2014/12/19 22

23. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ まとめ  HTTP/2  IESGへ  日本からの貢献も  httpauth  Basic, Digest認証の修正がWGLC  HOBAがIESGへ  charsetの問題はprecis WGで進んでいる IETF91報告会2014/12/19 23

24. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Any Questions? / Please Feedback! https://lepidum.co.jp/ mailto:maeda@lepidum.co.jp / twitter: @mad_p IETF91報告会2014/12/19

Ietf91報告 httpbis-httpauth

Ietf91報告 httpbis-httpauth

Recommended

More Related Content

Similar to Ietf91報告 httpbis-httpauth

Similar to Ietf91報告 httpbis-httpauth(20)

More from Kaoru Maeda

More from Kaoru Maeda(12)

Recently uploaded

Recently uploaded(14)

Ietf91報告 httpbis-httpauth