Upgrade to Pro — share decks privately, control downloads, hide ads and more …

HSTSについて調べた

Avatar for Hiroto Sasagawa Hiroto Sasagawa
July 10, 2023
Technology
0
410

 HSTSについて調べた

Avatar for Hiroto Sasagawa

Hiroto Sasagawa

July 10, 2023
Tweet

More Decks by Hiroto Sasagawa

See All by Hiroto Sasagawa
IP Anycastとリバースプロキシ
Avatar for Hiroto Sasagawa nagutabby
0
440
第1回 AWS勉強会
Avatar for Hiroto Sasagawa nagutabby
0
580
第1回 GNU/Linux勉強会
Avatar for Hiroto Sasagawa nagutabby
0
540
第2回 GNU/Linux勉強会
Avatar for Hiroto Sasagawa nagutabby
0
450
第3回 GNU/Linux勉強会
Avatar for Hiroto Sasagawa nagutabby
0
520
DNSを標的とする攻撃
Avatar for Hiroto Sasagawa nagutabby
0
470
EC2とCloudWatchで始める高対話型ハニーポット運用
Avatar for Hiroto Sasagawa nagutabby
0
590

Other Decks in Technology

See All in Technology
Oracle Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
3
430
Oracle Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
3
970
【northernforce#54】SalesforceにおけるAgentforceの位置づけ・事例紹介
Avatar for YutoSato yutosatou_kit
0
110
SOC2は、取った瞬間よりその後が面白い
Avatar for hima 3flower
0
150
All About Sansan – for New Global Engineers
Avatar for Sansan, Inc. sansan33
PRO
1
1.3k
VRTと真面目に向き合う
Avatar for Yuya Hirayama hiragram
1
350
Sansan Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.7k
Master Dataグループ紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
4.2k
Proxmoxで作る自宅クラウド入門
Avatar for koinunopochi koinunopochi
0
180
Databricks Free Editionで始めるLakeflow SDP
Avatar for Takaaki Yayoi taka_aki
0
170
クラウドセキュリティの進化 — AWSの20年を振り返る
Avatar for kei4eva4 kei4eva4
0
150
なぜCREを8年間続けているのか / cre-camp-4-2026-01-21
Avatar for missasan missasan
0
1k

Featured

See All Featured
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
430
Navigating Weather and Climate Data
Avatar for Ryan Abernathey rabernat
0
73
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
304
21k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
0
1.8k
Between Models and Reality
Avatar for mayunak mayunak
1
170
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.3k
Deep Space Network (abreviated)
Avatar for Tony Rice tonyrice
0
35
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
340
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
210

Transcript

  1. HSTSについて調べた 笹川 尋翔

  2. HSTS(HTTP Strict Transport Security) • サーバとクライアント間の通信でHTTPSを使うことを強制 • レスポンスヘッダにStrict-Transport-Securityを付与

  3. HTTPのリダイレクトじゃ駄⽬? • HTTPに届いたリクエストをHTTPSにリダイレクト NGINXでリダイレクトを設定する例

  4. 中間者攻撃のリスクがある • リダイレクトされる前の通信は平⽂で⾏われる • 悪意のあるサーバを経由させると通信を盗聴、改ざんできる

  5. HSTSの利点 • 中間者攻撃(Man In The Middle Attack)を防⽌ • Cookieなどの通信データを暗号化

  6. HSTSの⽋点 • 例1.) そのドメインに初めてアクセスする場合 • 例2.) Strict-Transport-Securityが期限切れの場合 最初のリスエストとレスポンスの通信を HTTPで⾏うことができる

  7. ディレクティブ • max-age=<expire-time> • HTTPSだけで接続することをWebブラウザが記憶する秒数 • includeSubDomains • サイトの全てのサブドメインにもHSTSを適⽤ •

    preload • 最初の通信からHSTSを適⽤ • 仕様書(RFC 6797)では定義されていない

  8. Cookieの暗号化 • CookieにSecure属性を設定 • 暗号化を保証 • HTTPSを使うときだけCookieが作成 • HSTSを使う •

    Cookieをほぼ確実に暗号化できるが暗号化は保証されない • “HSTSの⽋点”で説明したように、HTTPで通信される場合がある

  9. 中間者攻撃 • クライアントと正規サーバの通信を、悪意のあるサーバを 経由して実施させる • 通信の盗聴、改ざんをする • 例) HTTPで通信している場合 •

    平⽂でデータが渡されるため、盗聴や改ざんが容易

  10. 中間者攻撃の例

  11. HSTSの設定⽅法 • Webアプリケーションフレームワークのバックエンド • 例) Ruby on Rails • Webサーバ

    • 例) NGINX • DNSサーバ • 例) Cloudflare DNS

  12. まとめ • HSTSはHTTPSでの接続を強制する仕組み • 単独では通信の暗号化を保証しない • HSTS ≠ 安全 •

    preloadディレクティブ、Cookieのsecure属性を設定することが推奨

  13. 参考 • https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Strict- Transport-Security • https://www.chromium.org/hsts/ • https://hstspreload.org/