社内勉強会資料

1. プロフェッショナルSSL/TLS
5章
2017/5/22
光成滋生

2. • サイドジャッキング（sidejacking）
• 暗号化されていない通信からセッションIDを抜き出すこと
• セッションID : Webアプリで通信の所有者の識別子
• セッションハイジャックの一種
• 想定されるミス
• 平文でセッションIDを流す
• パスワードを暗号化通信を使って保護しているが認証が完了
した時点で平文の通信に移行してしまう
• 混在コンテンツ
• 平文で手に入るリソースが1個でも残っているとセッション
が漏れる可能性がある
HTTPおよびブラウザの問題
2 / 22

3. • 2007 ; 自動攻撃ツールFerret, Hermit by Graham,
Maynor
• 2010 ; FirefoxのアドオンFiresheep by Butler
• 2014 ; 検出ツールBlackSheep
• 2014 ; 反撃ツールFireShepherd
• 2014 ; リスク警告ツールIdiocy
• 2014 ; HTTP監査ツールCookieCadger by Sullivan
さまざまなツール
3 / 22

4. • WebサイトのTLS化での原則
• 全てのクッキーにSecure属性を設定
• MITMで非Secure属性のクッキーを盗む（p.110）
クッキー窃取（cookie stealing）
ブラウザ
https://www.sample.comからクッキーを取得
攻撃者 サーバ
別のhttp://plain.sample.comにアクセス
MITMでリダイレクトを指示
HTTP/1.1 302 Found
Location: http://www.sample.com:443
別のhttp://www.sample.com:443にアクセス
クッキーが漏洩
4 / 22

5. • 2011年RFC6265で仕様が標準化
• 名前と値の組
• サーバがHTTPのSet-Cookieというレスポンスヘッダで生成
• ブラウザは受信したクッキーをクッキージャーに保存
• クッキージャーから必要なクッキーを全てクッキーヘッダに
載せて返す
• 対立する観点
• セキュリティの意識がなかった時代の仕様
• 同一生成元ポリシー（SOP : Same Origin Policy）
• プロトコルとホスト名とポートが完全一致
クッキーの改竄
5 / 22

6. • プロトコルとポートをまたいで共有
• サブドメインでも見える
• example.comのクッキーはwww.example.comでも有効
• blog.example.comのクッキーをexample.comに明示的に拡張
可能
• サーバがメタデータを見られない
• クッキーの出所が分からない
• 自分が発行したものでないクッキーを拒否できない
• 同一性の欠如
• Secure属性ありなしが同じドメイン名で格納される
• 非Secure属性のクッキーでSecure属性の値を上書き可能
クッキーの問題
6 / 22

7. • クッキー排除攻撃（cookie eviction）
• ブラウザのクッキージャーには容量制限がある
• クッキージャーを溢れさせる
• クッキー注入攻撃（cookie injection）
• MITMで攻撃対象者のHTTPリクエストに割り込み
クッキーを上書きする
• Set-Cookie: ID=...; Path=/
• クッキーの名前、ドメイン、パスを攻撃対象と一致させる
クッキー書き換え攻撃
7 / 22

8. • www.example.comが安全とする
• blog.example.com はあまり安全ではない
• XSSがあるとwww.example.comのクッキーも書き換え可能
• blog.example.comで
document.cookie= 'ID=FORCED_ID;domain=example.com'
を実行
• domain属性を使うとIDがwww.example.comで有効
親戚関係のサブドメインからクッキー注入
8 / 22

9. • 同名のクッキーでは前のものが先に渡される
• Cookie: ID=REAL_ID; ID=FORCED_ID
• REAL_ID ; 本物, FORCED_ID ; 注入
• この場合は大抵REAL_IDが有効
• 影響を与えられない
• 先頭におくためにPath属性を使う
• document.cookie='ID=FORCED_ID2; domain=example.com;
path=/admin';
• /admin/にアクセスするときは
Cookie: ID=FORCED_ID2; ID=REAL_ID; ID=FORCED_ID
となり注入できる
クッキーの先頭に置く
9 / 22

10. • 常に成功するとは限らない
• 多くのサイトではドメインを明示していないため
ホストオンリーとして設定される
• 親戚関係のサブドメインから注入するにはドメインを明示す
る必要がある
• ドメインが明示されたものとホストオンリーは一致しない
• 同じレベルにあるきょうだいのサブドメインに発行できない
親戚関係のサブドメインからクッキー注入
blog.sample.com sample.com
www.sample.com
www.blog.sample.com
発行可能
発行不可
www.www.sample.com
発行可能
発行可能
発行可能
DNSを掌握して
サブドメインを捏造
10 / 22

11. • HSTS（HTTP Strict Transport Security）
• 可能な場合に暗号化を強制する（詳細は10章）
• クッキーの完全性検証
• HMACを使って自分が発行したものであることを確認
• Channel Binding
• クッキーを使わずにブラウザとサイト間を暗号化して結びつ
ける仕組み
• HTTPSストリッピング
• 多くの場合サイトの最初のアクセスは平文で始まる
• そのときにMITMでhttpsのリンク先を別のものに書き換える
• 標的サイトによく似た名前を使う
クッキー改竄攻撃対策
11 / 22

12. • ブラウザの対応
• 警告を出すだけ
• ユーザが自分で判断しないといけない
• 不正な証明書が多すぎるためエラーにできない
• 警告は大抵無視される
• 2013年のFirefoxで実験によると
警告で不正な証明書のサイトに進んだユーザは33%
• Chromeでは70%が警告を無視
• Firefoxのデザインをまねると56%に低下
不正な証明書
12 / 22

13. • 仮想ホストの設定ミス
• 1億2千万のドメイン中2200万にHTTPSサイト
• 72万サイトのみが意図したホスト名と一致
• そのうち3割は他に問題がある
• 名前が網羅されていない
• 自己署名証明書やプライベートCA
• きちんと理解して使うのはOK
• 期限切れの証明書
• アプライアンス製品の証明書
• 設定ミス
不正な証明書の理由
13 / 22

14. • ブラウザでWebページ表示中の
セキュリティの付加情報インタフェース
• TLSを利用中
• サイト運営者の法人が判明している（緑色のEV証明書）
• 不正な証明書が使われている
• ページの一部が暗号化されていない
• 問題点
• ほとんどのユーザはインジケーターに気がついていない
• モバイルブラウザーはより分かりにくい
セキュリティインジケーター
14 / 22

15. • 経緯
• SSLはHTTPに比べてとてもパフォーマンスが悪かった
• 一部の重要なところのみSSLを使うという方針
• マッシュアップ
• さまざまなサイトのコンテンツを混在表示する手法
• サードパーティーのJavaScriptを組み込むと安全性がさがる
• インフラのコスト
• CDN（Content Delivery Network）
• 地球上のたくさんの場所にサーバを設置して物理的に近いと
ころにアクセスさせる
• HTTPSのwebサイトとipアドレスの管理を自分でする必要
混在コンテンツ
15 / 22

16. • 受動的混在コンテンツ（mixed passive content）
• 画像など
• 混在表示（mixed display）
• 能動的混在コンテンツ（mixed active content）
• HTML, JavaScriptなど
• 混在スクリプティング（mixed scripting）
• 保護されていないJavaScriptが一つでもあると
任意のアクションが実行可能
• とても危険
• ブラウザの対応はそれぞれ異なる
• 受動的混在コンテンツは許可
• 能動的混在コンテンツは不許可
混在コンテンツの分類
16 / 22

17. • HSTS
• ユーザやページに問題があっても強制的に安全なリソースを
取得させる仕組み
• 混在コンテンツの問題を解消
• ただしリソースが自分の管理下にあるホスト名のときのみ
• CSP（Content Security Policy）
• 安全でないリソースをブロックする機能
• EV証明書
• ドメイン名と法人のつながりを立証する証明書
• 個人は取得できない
• 本人性が厳密に確認される
• 捏造が困難
緩和策
17 / 22

18. • 問題点
• ブラックボックスなところが多い
• 証明書をきちんと検証してないことも多い
• 失効確認の標準化に伴う問題
• 証明書と問い合わせが分断されている
• ブラックリスト方式
• プライバシーの問題
• CRLやOCSPは失効情報を取得するために自分が閲覧してい
るサイトをCAに渡す
• OCSPステープリングによる解決
• ユーザではなくサイトが問い合わせる
証明書の失効
18 / 22

19. • CAが失効した全ての証明書のリストをダウンロードで
きるようにする
• 2007年は158KBだったのが2013年には41MBになった
• スケールしない
• 差分CRL
• Windowsはサポートしているが使われていない
• ブラウザの対応状況
• Chrome ; デフォルトで確認しない. EV証明書は独自に確認
• Forefox;デフォルトで確認しない
• IE ; CRLをダウンロードして確認
• Safari ; 失効を確認するが失敗しても無視する
CRL
19 / 22

20. • CAの証明書の有効期間が不必要に長い
• Baseline Requirements
• CRLは12カ月は新鮮
• この間は中間証明書が失効しても有効なまま
• サーバ証明書のCRLは10日間で更新
• 下位CA証明書の失効から24時間以内に再発行
証明書の有効期間とCRL
20 / 22

21. • 証明書の失効情報をリアルタイムで扱えるように
• OCSPリプレイ攻撃
• オリジナルの設計はリプレイ攻撃に耐性がある
• ただしスケールできない
• 代わりに軽量OCSPプロトコルが広まる
• キャッシュに対応するためナンスを使わない
• 有効期限内はリプレイ攻撃可能
• 殆どのブラウザはOCSPに失敗しても無視
• OCSPレスポンス隠蔽攻撃
• iOS ; EV証明書にしか使わない
• Chrome ; 対応を打ち切り独自の仕組み（CRLSets）を利用
• Firefox ; OneCRL
OCSP（Online Certificate Status Protocol）
21 / 22

22. • 最初から信頼できないと言われていた
• OCSPレスポンダがダウンしたときネットワークが止まる
• パフォーマンスが悪い
• OCSPのURLを取得→レスポンダに対応→本来のWebサイト
• 強固なOCSPレスポンダを維持するのが困難
• 正確性が必要
• OCSPステープリング（OCSP Must-Staple）
• TSLハンドシェイクのたびに証明書の新鮮さの証拠を
Webサイトが配信する
• プライバシー、可用性、パフォーマンスの問題が改善
• HSTSの拡張
OCSPのその他の問題
22 / 22