Recommended
More Related Content
Similar to Ietf91報告 httpbis-httpauth
Similar to Ietf91報告 httpbis-httpauth (20)
More from Kaoru Maeda
More from Kaoru Maeda (12)
Recently uploaded
Recently uploaded (14)
Ietf91報告 httpbis-httpauth
- 1. https://lepidum.co.jp/ Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved. IETF91 Honolulu http関連 WGレポート 株式会社レピダム 前田 薫 (@mad_p) IETF91報告会 2014/12/19 IETF91報告会2014/12/19
- 2. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Agenda 自己紹介 httpbis WG httpauth WG IETF91 Honolulu, HI 2014/11/09-14
- 3. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ 自己紹介 名前 前田 薫 所属 株式会社レピダム シニアプログラマ マネージャ コミュニティー活動 Lightweight Language Identity Conference http2勉強会 業務領域 認証・認可、デジタル アイデンティティー、 プライバシー 標準化支援 ソフトウェアセキュリ ティー、脆弱性 IETF91報告会2014/12/19 3
- 5. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ httpbis WG Tuesday HTTP/2: 9.2.2問題、クライアント認証他 Wednesday HTTP/2: 日本からの報告 proxy関連他 議事録 https://github.com/httpwg/wg-materials/blob/gh- pages/ietf91/minutes.md IETF91報告会2014/12/19 5
- 6. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ HTTP/2 Status as of Today HTTP/2 draft-16, HPACK draft-10 draft-ietf-httpbis-http2-16 draft-ietf-httpbis-header-compression-10 主要な論点は議論が終わり、publication request が出された Honoluluでの議論が反映されたバージョン IETF91報告会2014/12/19 6
- 8. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ 9.2.2問題 HTTP/2仕様のセクション9.2.2 HTTP/2はcipher suiteに関する制限が強い ephemeral key exchange (DHE, ECDHE), 圧縮なし, etc. INADEQUATE_SECURITYで接続を切る(MUST) TLSのcipher negotiationとALPNが協調して cipheを選択しなければならない どちらの標準にもそんなことは記述がない IETF91報告会2014/12/19 8
- 9. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ white list案 9.2.2解決案 以下の6ステップで 1. Make cipher suite requirements specific to TLS 1.2 2. Nominate a fixed list of suites for use with H2+TLS12 3. Keep the required interop suite (mandatory to deploy) 4. Clarify that cipher suite requirements apply to deployments, not impl 5. Relax requirement to generate INADEQUATE_SECURITY 6. Require support for TLS_FALLBACK_SCSV w/ TLS1.3+ (?) IETF91報告会2014/12/19 9
- 10. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ 議論の結果 black list案: 既知のダメなスイートを静的に持つ white list案では新規スイートが使われない if the cipher suite selected for h2 is... BAD = peer MAY INADEQUATE_SECURITY !BAD = peer MUST NOT INADEQUATE_SECURITY BAD: fixed in-spec black list → draft-16では276個のcipher suiteを禁止 生き残ったのが42個 IETF91報告会2014/12/19 10
- 12. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ HTTP/2 Local Activities in Japan 急遽5分もらって発表 http2 conference紹介 最速実装ライブコーディング 実装一覧 活動紹介「issuethon」 nghttp2 リファレンス実装 IETF91報告会2014/12/19 12
- 13. Other Issues
- 14. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Client Authentication over New TLS Connection draft-thomson-httpbis-cant HTTP/2 over TLS1.2 や TLS1.3ではrenegotiationが禁止 される/存在しない spontaneous client authentication connectionを使い回している状態で後から認証が必要に なった場合 これまではrenegotiationで対応していた 今後は401を返し、TLS接続からやり直す そのためのヘッダを提案 401 Unauthorized WWW-Authenticate: ClientCertificate realm="home", sha- 256=NjUw... IETF91報告会2014/12/19 14
- 15. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Proxies Web Proxy Description draft-nottingham-web-proxy-desc WPD Proxiesというのを定義しよう MUST support HTTP/2; Clients MUST use HTTP/2 over TLS SHOULD support CONNECT Web Proxy Description (WPD) Format (JSON)も定義 PACは? trusted middleboxはセキュリティー上はよくない。 PRISMのような場合、システム管理者をねらってエンド ユーザーに知られずに盗聴しかけるのが心配 explicitly configured and working on behalf of user agentと いうのはいまのプロキシの実態に合っていない。いま のプロキシはon behalf of networkで動いている middle-boxの扱いについてはi2rs BoFもある。AD預かり IETF91報告会2014/12/19 15
- 16. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Proxies WPD Proxy Discovery http://www.ietf.org/proceedings/91/slides/slides-91- httpbis-0.pdf draft-chow-httpbis-proxy-discovery-00 https://??authority??/.well-known/web-desc-proxy 誰に聞くかという問題がある。ここでhttpsである ことが重要 オリジンauthorityを送るとMITM可能という問題 最初に返事した者が正しいという保証はない。特 にhotspotでは。最初のauthorityをどこに書くか 本来security areaで扱うべき問題では? IETF91報告会2014/12/19 16
- 18. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ httpauth WG Friday character set Basic Update Digest Update HOBA 議事録 http://tools.ietf.org/wg/httpauth/minutes IETF91報告会2014/12/19 18
- 19. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Allowed character set issue ログイン名やパスワードに使用できる文字 セットをprecis WGで検討中 saslprepbisとbasic authの間でidentifierに使用で きる文字セットに違いがある 例: black chess king「♚」 saslprepbisでは禁止 basic authでは特に禁止されていない Precisで安全な文字として定義されたものは Basic認証でも使えなければならない(MUST) それ以外のものも使えてもよい(MAY) IETF91報告会2014/12/19 19
- 20. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Basic認証 draft-ietf-httpauth-basicauth-update-03 新しいパラメータ charset WWW-Authenticate: Basic realm="foo", charset="UTF-8" username: MLで提案されたが採用はせず extensibility レジストリを用意するほどではない character setはprecis WGの成果にしたがう IETF91報告会2014/12/19 20
- 21. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Digest認証 draft-ietf-httpauth-digest-09 WGLCは終了。メジャーな問題はない Unicode NFC/NFDの問題 Unicode正規化前後で認証不可能 クライアントは正規化しなければならない(MUST) サーバー処理は明示せず charset: 明示しないと相互運用性の問題に 明示するとしたらUTF-8がISO-8859-1よりよい 再度のWGLC (Basicの後) IETF91報告会2014/12/19 21
- 22. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ HTTP Origin-Bound Authentication HOBA draft-ietf-httpauth-hoba-07 クライアント側でキーペアを作成することによ り認証 IESGへ送られた IETF91報告会2014/12/19 22
- 23. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ まとめ HTTP/2 IESGへ 日本からの貢献も httpauth Basic, Digest認証の修正がWGLC HOBAがIESGへ charsetの問題はprecis WGで進んでいる IETF91報告会2014/12/19 23
- 24. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Any Questions? / Please Feedback! https://lepidum.co.jp/ mailto:maeda@lepidum.co.jp / twitter: @mad_p IETF91報告会2014/12/19