Upgrade to Pro — share decks privately, control downloads, hide ads and more …

HTTP/2 and Security in OWASP Night 17th

HTTP/2 and Security in OWASP Night 17th

HTTP/2とセキュリティ In OWASP Night 17th
2015/4/9 @秋葉原UDX

F9b27b006dc2c4f3ca6613073c661834?s=128

Yuho Kameda

April 09, 2015
Tweet

Transcript

  1. HTTP/2とセキュリティ In OWASP Night 17th 2015/4/9 亀田 勇歩 @YuhoKameda

  2. Profile(プロフィール) 亀田 勇歩 - @YuhoKameda [活動] ZAP Evangelist 『OWASP Zed

    Attack Proxy 運用マニュアル』執筆協力 ZAP Hands-on Training in AppSec APAC2014 脆弱性診断士(Web アプリケーション)スキルマップ執筆 [業務] Web/PF脆弱性診断 インシデントレスポンス全般
  3. HTTP/2 • IETF(Internet Engineering Task Force)の httpbisによって制定されたHypertext Transfer Protocolのバージョンの1つ •

    現在の仕様では、HTTP/2.0ではなく HTTP/2 または HTTP2 が正しい呼び方。
  4. HTTP 1992年 HTTP/0.9 1996年5月 HTTP/1.0 RFC化 1999年6月 HTTP/1.1 RFC化 2009年

    SPDY/1 SPDY/2 SPDY/3 SPDY/3.1 SPDY/4 => HTTP/2 2015年2月 HTTP/2 正式承認 現在 RFC化対応中
  5. きっかけ • HTTP/2がWebアプリケーション脆弱性診断に 与える影響を見極める • HTTP/2の実装におけるセキュリティリスクを把 握し理解する • HTTP/2に対応するアプリケーション設計・開 発におけるセキュリティリスクを理解する

  6. HTTP/2の特徴 • バイナリベースのプロトコル • プロトコルの単位がフレーム(TCPコネクションではない) – HTTP/1.Xでは、リクエストごとにTCPコネクションを張りなおして いた • TCPコネクションを並列化・多重化できる

    • ヘッダ圧縮 • サーバからコンテンツをプッシュできる • TLS上で実装時の制約 – TLS1.2以上 – 再ネゴシエーションの禁止 – 圧縮利用の禁止 – 特定のCipher Suiteを必須化 • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  7. フレーム送受信 HEADERSフレーム stream_id=1 PUSH_PROMISEフレーム stream_id=2, stream_id=4 DATA/HEADERSフレーム stream_id=2 DATA/HEADERSフレーム stream_id=4

  8. 今後のポイント • HTTP/2のRFC告知 • HTTP/2に関するドラフトupdate – WebPush – 日和見暗号 –

    Alternative Services など • HTTP/2のアプリケーション実装 • 各種ツール/機器の対応状況
  9. 参考リンク • HTTP2 Advent Calendar 2014 – http://qiita.com/advent-calendar/2014/http2 • Httpbis

    Status Pages – https://tools.ietf.org/wg/httpbis/draft-ietf-httpbis-http2/ • Hypertext Transfer Protocol version 2 draft-ietf-httpbis-http2-17 – https://tools.ietf.org/html/draft-ietf-httpbis-http2-17 • HTTP/2 Japan Local Activity – http://http2.info/
  10. Any Question? • Social Account – Twitter : @YuhoKameda •

    URL – https://www.owasp.org/index.php/User:Yuho_Kameda • E-mail – yuho.kameda@owasp.org