Tag Archives: hsts

在 Google Chrome 連上因 HSTS 而無法連線的網站

像是把 StartCom 停用掉後造成 www.kernel.org 無法連線的問題: 前幾天在 Twitter 上看到解法: Chrome的神秘功能……遇到因为安全原因禁止进入的网站,在那个提示页面输入“badidea”(不含引号)就能进入了…… — Xidorn Quan (@upsuper) September 11, 2016 說道 StartCom,StartCom 與 WoSign 的故事才剛要開始,前陣子在「Mozilla 在考慮移除 WoSign 的 CA Root」這邊提到的問題,最近 mailing list 上越來愈刺激了。(發現更多沒有通報的問題) 另外也發現 StartCom 被 WoSign (的 CEO) 買下來了,當初因為「Why I stopped using StartSSL … Continue reading

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Political, Security, Software, WWW | Tagged , , , , , , , , | Leave a comment

Google 的 www.google.com 要上 HSTS 了

Google 宣佈 www.google.com 要上 HSTS 了:「Bringing HSTS to www.google.com」。 雖然都已經使用 EFF 的 HTTPS Everywhere 在跑確保 HTTPS,但這個進展還是很重要,可以讓一般使用者受到保護... Google 的切換計畫是會逐步增加 HSTS 的 max-age,確保中間出問題時造成的衝擊。一開始只會設一天,然後會逐步增加,最後增加到一年: In the immediate term, we’re focused on increasing the duration that the header is active (‘max-age’). We've initially set … Continue reading

Posted in Computer, Murmuring, Network, Search Engine, Security, Software, WWW | Tagged , , , , , , , , , , , , | Leave a comment

把 HTTP 站台逐步換向 HTTPS 站台的步驟

Jerry Qu 寫的「关于启用 HTTPS 的一些经验分享」這篇文章講了要怎麼將 HTTP 站台逐步換成 HTTPS 站台的方式 (以及工具)。 一開始會遇到 Mixed Content,瀏覽器預設值不會直接全部擋掉,而是會放行圖片類資源 (但是出現對應的警告)。然後可以用 upgrade-insecure-requests 來幫助邊換,讓 url 裡指定 http 的自動連到 https。 當全站把 url 都修完後,接著就可以考慮用 HSTS 強制全上 HTTPS。 做到這邊的安全性已經到一定程度了,接下來要不要進 HSTS Preload List 就看大家自己的想法了。

Posted in Computer, CSS, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , , | Leave a comment

利用 HSTS 資訊得知網站紀錄的 sniffly

看到「sniffly」這個工具,可以利用 HSTS 資訊檢測逛過哪些網站,程式碼在「diracdeltas/sniffly」這邊可以找到: Sniffly is an attack that abuses HTTP Strict Transport Security and Content Security Policy to allow arbitrary websites to sniff a user's browsing history. It has been tested in Firefox and Chrome. 測試網站則可以在這邊看到,作者拿 Alexa 上的資料網站來掃,所以熱門網站應該都會被放進去... 主要是利用 HSTS … Continue reading

Posted in Browser, Computer, Firefox, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , , , , , , | Leave a comment

STARTTLS 的不完整性以及大規模監控電子郵件

在「Don’t count on STARTTLS to automatically encrypt your sensitive e-mails」這邊提到了 STARTTLS 的問題,引用「Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security」這篇論文的說明。 SMTP 裡 STARTTLS 的設計雖然可以加密,但仲所皆知,可以阻擋 EHLO 回應結果避免建立 STARTTLS 連線,而讓發送端改用傳統未加密的 SMTP 傳輸。而研究發現其實目前就有大規模的這種監控行為: 可以看到突尼西亞的監控情況遠超過想像... 目前的想法是發展一套類似 HSTS 的 Trust … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security | Tagged , , , , , , , , , , , , , | 2 Comments

微軟讓 Windows 7 與 Windows 8.1 上的 IE11 支援 HSTS

本來只有 Windows 10 的 IE11 有支援 HSTS,而前幾天的更新則是讓 Windows 7 與 Windows 8.1 的 IE11 也支援了:「HTTP Strict Transport Security comes to Internet Explorer 11 on Windows 8.1 and Windows 7」。 With today’s monthly security updates (KB 3058515), we’re bringing the protections … Continue reading

Posted in Browser, Computer, IE, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , | Leave a comment

Wikimedia (包括維基百科) 推出 HSTS (強制使用 HTTPS)

Wikimeda 宣佈所有旗下的網站都會啟用 HTTPS 與 HSTS:「Securing access to Wikimedia sites with HTTPS」。 在這之前,使用者可以用 EFF 的 HTTPS Everywhere 強制使用 HTTPS (在 Firefox 與 Google Chrome 都有上架),而這次則是全面強制使用了。 愈來愈多人使用 HTTPS 來保護隱私後 (而不僅僅是保護機密資料),接下來的問題就是要想辦法在 DNS 上保護了。也就是可以利用 DNS query pattern 知道你在看哪種 (或是哪一個) 頁面。

Posted in Browser, CMS, Computer, DNS, Firefox, GoogleChrome, Murmuring, Network, Security, Software, Wiki, WWW | Tagged , , , , , , , , , | 1 Comment

RFC7469:Public Key Pinning Extension for HTTP

前幾天的 Standards Track:「Public Key Pinning Extension for HTTP」。 HPKP (HTTP Public Key Pinning) 機制是讓 server 端在第一次連線時告訴 client (像是瀏覽器) Public Key 資訊,也就是建構在 TOFU (Trust-on-first-use): Key pinning is a trust-on-first-use (TOFU) mechanism. The first time a UA connects to a host, it … Continue reading

Posted in Browser, Computer, Firefox, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , | Leave a comment

Mozilla 提供了 SSL/TLS 設定懶人包

Mozilla 的 Mozilla SSL Configuration Generator 提供了各種 server side 的設定: Apache Nginx HAProxy AWS ELB 以及不同等級的設定 (Modern、Intermediate、Old),另外還有 HSTS 的選項可以選擇。 對於 security 的東西我不是很喜歡用 generator (因為我覺得既然是資安相關的東西,要盡可能知道每個細節),但算是一種推廣吧,看了一下設定也都還算合理...

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , | Leave a comment

CloudFlare 的 HTTPS 支援 HSTS 設定

CloudFlare 的 HTTPS 支援 HSTS:「Enforce Web Policy with HTTP Strict Transport Security (HSTS)」。 目前可以設 max-age 與 includeSubDomains。至於 preload 還在規劃。不算複雜的功能 (加上 HTTP header),不過對於安全性的幫助很大。 不過 origin 好像也可以送,不知道 CloudFlare 會不會濾掉...

Posted in CDN, Cloud, Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , | 1 Comment