HTTP Strict Transport Security: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Corretti parametri ref duplicati |
→Limiti: eliminata la parte (copiata da en.wikipedia) che conteneva considerazioni personali e non supportate da dati tecnici sulla capacità di DNSSEC di comunicare campi HSTS per la mitigazione dell'attacco di downgrade |
||
| (36 versioni intermedie di 26 utenti non mostrate) | |||
Riga 1:
'''''HTTP Strict Transport Security''''' o '''''HSTS''''' (in italiano '''sicurezza rigida per il trasporto di HTTP''') è una procedura che implementa una politica di sicurezza per le comunicazioni [[web]], necessaria a proteggere il canale [[HTTPS]] da attacchi di [[degrado della sicurezza]] (''downgrade'') e assai utile per la protezione dai [[Dirottamento di sessione|dirottamenti di sessione]].
HSTS permette al [[server web]] di dichiarare che i [[browser]] e ogni altro tipo di [[client]] debbano comunicare con esso esclusivamente attraverso connessioni sicure su [[Protocollo di rete|protocollo]] HTTPS e non sul semplice [[HTTP]]<ref name="https">HTTPS denota HTTP sopra lo
La procedura è uno standard di Internet della [[IETF]], normato dal [[Request for Comments|RFC]] 6797.
La politica HSTS<ref name="hsts-
== Storia della specifica ==
HSTS è la concretizzazione di uno degli aspetti della visione progettuale di Jeff Hodges e
Le specifiche HSTS si basano sul contributo originale di Jackson e Barth descritto nell'articolo ''ForceHTTPS: Protecting High-Security Web Sites from Network Attacks''.<ref name="forcehttps-paper">
▲HSTS è la concretizzazione di uno degli aspetti della visione progettuale di Jeff Hodges e Andy Steingruebl per migliorare la sicurezza del web, e presentata nel 2010 all'interno del loro articolo 2010 intitolato ''The Need for Coherent Web Security Policy Framework(s)''.<ref name="web-sec-policy-frmwk"><cite class="citation web" contenteditable="false">Hodges, Jeff; Steinguebl, Andy (29 October 2010). </cite></ref>
La prima bozza originale delle specifiche fu scritta da
▲Le specifiche HSTS si basano sul contributo originale di Jackson e Barth descritto nell'articolo ''ForceHTTPS: Protecting High-Security Web Sites from Network Attacks''.<ref name="forcehttps-paper"><cite class="citation web" contenteditable="false">[https://crypto.stanford.edu/forcehttps/ "ForceHTTPS: Protecting High-Security Web Site from Network Attacks"]. </cite></ref>
La prima specifica di
▲La prima bozza originale delle specifiche fu scritta da Jeff Hodges<ref name="jeffhodges-ext"><cite class="citation web" contenteditable="false">[http://kingsmountain.com/people/Jeff.Hodges/ "Jeff Hodges's homepage"]<span class="reference-accessdate">. </span></cite></ref> di [[PayPal]], Collin Jackson<ref name="collinjackson-ext"><cite class="citation web" contenteditable="false">[http://www.collinjackson.com/ "Collin Jackson's homepage"]<span class="reference-accessdate">. </span></cite></ref> e Adam Barth<ref name="adambarth-ext"><cite class="citation web" contenteditable="false">[http://www.adambarth.com/ "Adam Barth's homepage"]<span class="reference-accessdate">. </span></cite></ref> e pubblicata 18 settembre 2009.<ref name="draft-spec"><cite class="citation web" contenteditable="false">[//lists.w3.org/Archives/Public/www-archive/2009Sep/att-0051/draft-hodges-strict-transport-sec-05.plain.html "Strict Transport Security -05"]. 18 September 2009<span class="reference-accessdate">. </span></cite></ref>
In seguito all'approvazione del 2 ottobre 2012 da parte dell'[[Internet Engineering Steering Group|IESG]], la specifica di HSTS è stata pubblicata come [[Request for Comments|RFC]] ''Proposed Standard''
▲La prima specifica di STS fu resa pubblica il 18 dicembre 2009 e corrispose all'ultima cosiddetta "versione della comunità", che beneficiava appunto del riscontro pubblico.<ref name="STS-draft-spec-2"><cite class="citation web" contenteditable="false">[//lists.w3.org/Archives/Public/www-archive/2009Dec/att-0048/draft-hodges-strict-transport-sec-06.plain.html "Strict Transport Security -06"]. 18 December 2009<span class="reference-accessdate">. </span></cite></ref>
La prima versione originale del documento fu però depositata già il 17 giugno 2010 come
Ciononostante, l'intestazione HTTP definita dalle specifiche ha mantenuto il nome di
▲In seguito all'approvazione del 2 ottobre 2012 da parte dell'[[Internet Engineering Steering Group|IESG]], la specifica di HSTS è stata pubblicata come [[Request for Comments|RFC]] ''Proposed Standard'' (standard proposto) il 19 novembre 2012 nel RFC 6797 <ref name="hsts-ps-rfc-approval-iesg-msg"><cite class="citation web" contenteditable="false">[https://www.ietf.org/mail-archive/web/websec/current/msg01401.html "[websec] Protocol Action: 'HTTP Strict Transport Security (HSTS)' to Proposed Standard (draft-ietf-websec-strict-transport-sec-14.txt)"].
▲La prima versione originale del documento fu però depositata già il 17 giugno 2010 come [[Internet Draft|Internet-Draft]], momento nel quale il titolo della specifica fu cambiato da "Strict Transport Security" (STS) al più preciso "HTTP Strict Transport Security".<ref><cite class="citation web" contenteditable="false">Jeff Hodges (30 June 2010).</cite></ref>
▲Ciononostante, l'intestazione HTTP definita dalle specifiche ha mantenuto il nome di "Strict-Transport-Security".
== Panoramica della procedura ==
Un server implementa la politica HSTS se emette la relativa intestazione in un messaggio di una comunicazione HTTPS (su HTTP tali intestazioni sono invece ignorate).<ref>
▲Un server implementa la politica HSTS se emette la relativa intestazione in un messaggio di una comunicazione HTTPS (su HTTP tali intestazioni sono invece ignorate).<ref><cite class="citation web" contenteditable="false">[https://developer.mozilla.org/en-US/docs/Security/HTTP_Strict_Transport_Security "HTTP Strict Transport Security"].</cite></ref>
Per esempio, un server potrebbe inviare un'intestazione che richieda che ogni richiesta a lui diretta nell'anno successivo sia trasmessa necessariamente tramite HTTPS.
In tal caso, dato che il parametro ''max-age''
:<code>Strict-Transport-Security: max-age=31536000; includeSubDomains;</code>.
Quando un'applicazione web<ref name="webapp">
# Ogni collegamento non sicuro è trasformato in un collegamento sicuro,
# Se la sicurezza della connessione non è considerata affidabile, ad esempio se il certificato
La politica HSTS aiuta a proteggere gli utenti delle applicazioni web da certi attacchi passivi (''[[eavesdropping]]'') o attivi:<ref name="hsts-threats-addressed">{{
== Applicabilità ==
La vulnerabilità di sicurezza più importante che possa essere scongiurata da HSTS è il cosiddetto [[Attacco man in the middle|man-in-the-middle]]
Questo attacco consiste nel convertire silenziosamente una connessione HTTP sicura, appoggiata a
Dato che diversi siti non usano
Inoltre il processo di regressione di sicurezza non genera alcun messaggio d'avvertimento all'utente, rendendo l'attacco discreto agli occhi di quasi chiunque. Lo strumento sslstrip di
HSTS si occupa di questo problema<ref name="hsts-threats-addressed"/>
▲La vulnerabilità di sicurezza più importante che possa essere scongiurata da HSTS è il cosiddetto [[Attacco man in the middle|man-in-the-middle]] con la tecnica di ''SSL-stripping'', illustrata pubblicamente per la prima volta nel 2009 da Moxie Marlinspike nel suo intervento «''New Tricks For Defeating SSL In Practice»'' (Messa in pratica dei nuovi trucchi per sconfiggere SSL) presentato al ''BlackHat Federal''.<ref>{{Template:Cite journal|url = https://blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf|title = New Tricks For Defeating SSL In Practice|work = }}</ref><ref>[https://www.youtube.com/watch?v=MFol6IMbZ7Y Defeating SSL Using Sslstrip]<span contenteditable="false"> on </span>[[YouTube]]</ref>
Visto che l'intestazione HSTS può però essere comunque manomessa da un attaccante nel momento della prima visita da parte di un utente, [[Google Chrome]], [[Mozilla Firefox]], [[Internet Explorer]] e [[Microsoft Edge]]
▲Questo attacco consiste nel convertire silenziosamente una connessione HTTP sicura, appoggiata a [[Transport Layer Security|SSL]] o a [[Transport Layer Security|TLS]], in una connessione HTTP in chiaro: l'utente può verificare che effettivamente la connessione non sia sicura, ma non ha alcun modo di sapere che essa debba esserlo.
Nel prossimo paragrafo [[Strict Transport Security|Limiti]]
▲Dato che diversi siti non usano TLS/SSL, infatti, non c'è modo di capire, se non conoscendo a priori lo specifico sito, se l'insicurezza della connessione sia l'effetto di un attacco, o se invece è il comportamento abituale dell'applicazione web.
▲Inoltre il processo di regressione di sicurezza non genera alcun messaggio d'avvertimento all'utente, rendendo l'attacco discreto agli occhi di quasi chiunque. Lo strumento sslstrip di Marlinspike automatizza completamente tale attacco.
HSTS aiuta anche a evitare il furto di credenziali di accesso a siti web basati su [[Cookie|cookie HTTP]], un attacco praticabile con strumenti facilmente disponibili, quale
▲HSTS si occupa di questo problema<ref name="hsts-threats-addressed"/> informando il browser che le sue connessioni al sito dovrebbero fare sempre uso di TLS/SSL.
▲Visto che l'intestazione HSTS può però essere comunque manomessa da un attaccante nel momento della prima visita da parte di un utente, [[Google Chrome]], [[Mozilla Firefox]], [[Internet Explorer]] e [[Microsoft Edge]] cercano di limitare la problematica inserendo un elenco preliminare dei siti HSTS.<ref name="preloading_hsts_chromium">{{Template:Cite web|url = https://www.chromium.org/sts|author = Adam Langley|title = Strict Transport Security|work = The Chromium Projects|date = 8 July 2010|accessdate = 22 July 2010}}</ref><ref name="preloading_hsts_mozillla"><cite class="citation web" contenteditable="false">David Keeler (1 November 2012). </cite></ref><ref name="iepreload">{{Template:Cite web|url = http://blogs.msdn.com/b/ie/archive/2015/02/16/http-strict-transport-security-comes-to-internet-explorer.aspx|title = HTTP Strict Transport Security comes to Internet Explorer|accessdate = 16 February 2015|author = Bell, Mike; Walp, David|date = February 16, 2015}}</ref>
▲Nel prossimo paragrafo [[Strict Transport Security|Limiti]] si discuterà anche di come questa soluzione sia necessariamente insufficiente, dato che il suddetto elenco non può essere esaustivo.
Dato che HSTS ha limiti temporali, il protocollo è sensibile ad attacchi che prevedono di spostare l'orologio della vittima, per esempio inviando falsi pacchetti
▲HSTS aiuta anche a evitare il furto di credenziali di accesso a siti web basati su [[Cookie|cookie HTTP]], un attacco praticabile con strumenti facilmente disponibili, quale [[Firesheep]].<ref>{{Template:Cite web|url = http://identitymeme.org/archives/2010/10/29/firesheep-and-hsts-http-strict-transport-security/|author = Jeff Hodges|title = Firesheep and HSTS (HTTP Strict Transport Security)|date = 31 October 2010|accessdate = 8 Mar 2011}}</ref>
▲Dato che HSTS ha limiti temporali, il protocollo è sensibile ad attacchi che prevedono di spostare l'orologio della vittima, per esempio inviando falsi pacchetti . using false [[Network Time Protocol|NTP]] packets.<ref>{{Template:Cite web|url = https://www.blackhat.com/docs/eu-14/materials/eu-14-Selvi-Bypassing-HTTP-Strict-Transport-Security.pdf|title = Bypassing HTTP Strict Transport Security|date = 2014-10-17|accessdate = 2014-10-22|author = Jose Selvi}}</ref>
== Limiti ==
Di fronte ad attacchi attivi, la presenza di HSTS non è in grado di proteggere la prima richiesta ad un'applicazione web, quando quella sia veicolata su un protocollo non sicuro come HTTP in chiaro o quando il relativo [[Uniform Resource Identifier|URI]] è stato ottenuto su un canale insicuro.<ref name="hsts-bootstrap-mitm">{{
Lo stesso vale per la prima richiesta che sia effettuata dopo la scadenza del periodo precisato dal parametro
▲Di fronte ad attacchi attivi, la presenza di HSTS non è in grado di proteggere la prima richiesta ad un'applicazione web, quando quella sia veicolata su un protocollo non sicuro come HTTP in chiaro o quando il relativo [[Uniform Resource Identifier|URI]] è stato ottenuto su un canale insicuro.<ref name="hsts-bootstrap-mitm">{{Template:Cite web|url = https://tools.ietf.org/html/rfc6797#section-14.6|title = Section 14.6. Bootstrap MITM Vulnerability|work = RFC 6797|publisher = IETF|last = Hodges|first = Jeff|author2 = Jackson, Collin|author3 = Barth, Adam|date = November 2012|accessdate = 21 November 2012}}</ref>
▲Lo stesso vale per la prima richiesta che sia effettuata dopo la scadenza del periodo precisato dal parametro <code><nowiki>max-age</nowiki></code> annunciato nella politica HSTS.
I siti dovrebbero pertanto impostare una durata di diversi giorni o di diversi mesi, a seconda dall'attività e comportamento degli utenti.
I browser [[Google Chrome]], [[Mozilla Firefox]] e [[Internet Explorer]]/[[Microsoft Edge]]
Ciononostante, come precedentemente accennato, tale lista non può elencare ogni sito web presente su Internet.
Anche quando provvisto della «lista preliminare STS», il meccanismo HSTS non è comunque in grado di proteggere da attacchi che riguardino lo stesso livello di sicurezza TLS, quali ad esempio il
Per una più estesa discussione della sicurezza di HSTS, si veda il
== Supporto da parte dei browser ==
[[File:Chromium HSTS settings screenshot.png|alt=Pagina di impostazioni per HTTPS Strict Transport Security in Chromium 45, che mostra lo stato della politica di sicurezza per il dominio di Wikipedia in inglese.|thumb|right|
*[[Chromium]]
* [[Mozilla Firefox|Firefox]]
* [[Opera (browser)|Opera]]
* [[Safari (browser)|Safari]]
* [[Internet Explorer 11]]
* [[Microsoft Edge]]
== Buone norme per la messa in opera ==
A seconda della specifica messa in opera, certe buone norme consentono di evitare alcune minacce alla sicurezza, come gli attacchi con iniezione di cookie.
* Gli host HSTS dovrebbero dichiarare la politica HSTS nel loro nome di livello massimo: per esempio, un server in ascolto su
* Un host che serve <nowiki>https://www.example.com</nowiki>
== Note ==
<references/>
==
* [[HTTPS]]
== Collegamenti esterni ==
* {{
▲* {{en}} [https://tools.ietf.org/wg/websec/charters IETF WebSec Working Group]
* {{en}} [https://garron.net/crypto/hsts/hsts-2013.pdf The State of HSTS Deployment: A Survey and Common Pitfalls] provides an analysis of HSTS deployment statistics, patterns, mistakes, and best practices.
* {{
* {{en}} [[owasp:
* {{
* {{en}} [https://hstspreload.appspot.com HSTS Preload Submission] for Google Chrome, Mozilla Firefox, Safari, IE 11, and Edge
[[Categoria:Hypertext Transfer Protocol|Strict Transport Security]]
[[Categoria:Sicurezza informatica]]
[[Categoria:Crittografia]]
▲{{Portale|informatica|sicurezza informatica|telematica}}
| |||