Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

HSTSについて調べた

Avatar for Hiroto Sasagawa Hiroto Sasagawa
July 10, 2023
Technology
0
410

 HSTSについて調べた

Avatar for Hiroto Sasagawa

Hiroto Sasagawa

July 10, 2023
Tweet

More Decks by Hiroto Sasagawa

See All by Hiroto Sasagawa
IP Anycastとリバースプロキシ
Avatar for Hiroto Sasagawa nagutabby
0
440
第1回 AWS勉強会
Avatar for Hiroto Sasagawa nagutabby
0
580
第1回 GNU/Linux勉強会
Avatar for Hiroto Sasagawa nagutabby
0
530
第2回 GNU/Linux勉強会
Avatar for Hiroto Sasagawa nagutabby
0
450
第3回 GNU/Linux勉強会
Avatar for Hiroto Sasagawa nagutabby
0
520
DNSを標的とする攻撃
Avatar for Hiroto Sasagawa nagutabby
0
470
EC2とCloudWatchで始める高対話型ハニーポット運用
Avatar for Hiroto Sasagawa nagutabby
0
580

Other Decks in Technology

See All in Technology
業務の煩悩を祓うAI活用術108選 / AI 108 Usages
Avatar for 株式会社スマートバンク smartbank
9
11k
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
11
390k
AI との良い付き合い方を僕らは誰も知らない
Avatar for Asei Sugiyama asei
0
270
NIKKEI Tech Talk #41: セキュア・バイ・デザインからクラウド管理を考える
Avatar for Ryosuke Sekido sekido
PRO
0
210
Lookerで実現するセキュアな外部データ提供
Avatar for ZOZO Developers zozotech
PRO
0
200
2025年のデザインシステムとAI 活用を振り返る
Avatar for Tech Leverages leveragestech
0
250
AR Guitar: Expanding Guitar Performance from a Live House to Urban Space
Avatar for Ekito ekito_station
0
230
AgentCoreとStrandsで社内d払いナレッジボットを作った話
Avatar for 元島優 motojimayu
1
970
MariaDB Connector/C のcaching_sha2_passwordプラグインの仕様について
Avatar for kubo ayumu boro1234
0
1k
AI駆動開発の実践とその未来
Avatar for Ikko Eltociear Ashimine eltociear
2
490
Kiro を用いたペアプロのススメ
Avatar for Taiki Sugawara taikis
4
1.8k
たまに起きる外部サービスの障害に備えたり備えなかったりする話
Avatar for Sohei Iwahori egmc
0
410

Featured

See All Featured
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.4k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.4k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
122
21k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
45
Designing for Performance
Avatar for Lara Hogan lara
610
69k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
820
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
95
14k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
37
7.1k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.7k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
56
14k

Transcript

  1. HSTSについて調べた 笹川 尋翔

  2. HSTS(HTTP Strict Transport Security) • サーバとクライアント間の通信でHTTPSを使うことを強制 • レスポンスヘッダにStrict-Transport-Securityを付与

  3. HTTPのリダイレクトじゃ駄⽬? • HTTPに届いたリクエストをHTTPSにリダイレクト NGINXでリダイレクトを設定する例

  4. 中間者攻撃のリスクがある • リダイレクトされる前の通信は平⽂で⾏われる • 悪意のあるサーバを経由させると通信を盗聴、改ざんできる

  5. HSTSの利点 • 中間者攻撃(Man In The Middle Attack)を防⽌ • Cookieなどの通信データを暗号化

  6. HSTSの⽋点 • 例1.) そのドメインに初めてアクセスする場合 • 例2.) Strict-Transport-Securityが期限切れの場合 最初のリスエストとレスポンスの通信を HTTPで⾏うことができる

  7. ディレクティブ • max-age=<expire-time> • HTTPSだけで接続することをWebブラウザが記憶する秒数 • includeSubDomains • サイトの全てのサブドメインにもHSTSを適⽤ •

    preload • 最初の通信からHSTSを適⽤ • 仕様書(RFC 6797)では定義されていない

  8. Cookieの暗号化 • CookieにSecure属性を設定 • 暗号化を保証 • HTTPSを使うときだけCookieが作成 • HSTSを使う •

    Cookieをほぼ確実に暗号化できるが暗号化は保証されない • “HSTSの⽋点”で説明したように、HTTPで通信される場合がある

  9. 中間者攻撃 • クライアントと正規サーバの通信を、悪意のあるサーバを 経由して実施させる • 通信の盗聴、改ざんをする • 例) HTTPで通信している場合 •

    平⽂でデータが渡されるため、盗聴や改ざんが容易

  10. 中間者攻撃の例

  11. HSTSの設定⽅法 • Webアプリケーションフレームワークのバックエンド • 例) Ruby on Rails • Webサーバ

    • 例) NGINX • DNSサーバ • 例) Cloudflare DNS

  12. まとめ • HSTSはHTTPSでの接続を強制する仕組み • 単独では通信の暗号化を保証しない • HSTS ≠ 安全 •

    preloadディレクティブ、Cookieのsecure属性を設定することが推奨

  13. 参考 • https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Strict- Transport-Security • https://www.chromium.org/hsts/ • https://hstspreload.org/