Upgrade to Pro — share decks privately, control downloads, hide ads and more …

HTTP/2 and Security in OWASP Night 17th

Yuho Kameda
April 09, 2015
Technology
2
990

HTTP/2 and Security in OWASP Night 17th

HTTP/2とセキュリティ In OWASP Night 17th
2015/4/9 @秋葉原UDX

Yuho Kameda

April 09, 2015
Tweet

More Decks by Yuho Kameda

See All by Yuho Kameda
How to use OWASP ZAP & Vulnerabilities Slikmap
ykame
0
8.6k
Enjoy Daily Life by handy tool
ykame
0
77
Find Trust-Information -Public- 20170630 #ssmjp
ykame
1
2.3k
Intel CTF and Open xINT CTF 20161220
ykame
1
1.1k
Hey Siri! Hello Barbie! ssmjp
ykame
0
830
How to create the alert by script of ZAP
ykame
2
630
[bpstudy] OWASP ZAP Vulnerable Assesment.
ykame
2
1.3k
What is ZAP?
ykame
0
460
MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29
ykame
2
500

Other Decks in Technology

See All in Technology
クラウドサインにおけるプロダクトマネージャーの役割と開発プロセス / 20240410_cloudsign-PdM
bengo4com
1
680
強みを伸ばすキャリアデザイン
yug1224
0
200
社内勉強会運営のコツ
senoo
6
1.1k
シン・Kafka / shin-kafka
oracle4engineer
PRO
7
2.7k
2024/4/26 コンピュータ歴史博物館解説告知
toshi_atsumi
0
200
オブザーバビリティの Primary Signals
onk
PRO
0
550
カオナビの利用実績をアウトカムへつなげる旅 / example-of-data-management-startup-in-kaonavi
kaonavi
0
120
検証を通して見えてきたTiDBの性能特性
lycorptech_jp
PRO
6
3.4k
Databricksを活用してDELISH KITCHENのレシピレコメンドを開発した話
furu8
0
250
Delivering Millions of Messages within seconds @ Duolingo
pelelgrino
0
340
WebアプリケーションにおけるPDOの使い方入門 / phpcon odawara 2024
meihei3
2
430
Aurora MySQL v3(MySQL8.0互換)の オンラインDDLの罠挙動を全バージョンで検証した
yutakikai
1
150

Featured

See All Featured
Building Better People: How to give real-time feedback that sticks.
wjessup
354
18k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
12
1.5k
We Have a Design System, Now What?
morganepeng
42
6.7k
It's Worth the Effort
3n
180
27k
Producing Creativity
orderedlist
PRO
336
39k
WebSockets: Embracing the real-time Web
robhawkes
59
7k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
15
1.4k
Building Your Own Lightsaber
phodgson
98
5.7k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
20
1.6k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
1
1.3k
Being A Developer After 40
akosma
56
580k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
19
1.9k

Transcript

  1. HTTP/2とセキュリティ In OWASP Night 17th 2015/4/9 亀田 勇歩 @YuhoKameda

  2. Profile(プロフィール) 亀田 勇歩 - @YuhoKameda [活動] ZAP Evangelist 『OWASP Zed

    Attack Proxy 運用マニュアル』執筆協力 ZAP Hands-on Training in AppSec APAC2014 脆弱性診断士(Web アプリケーション)スキルマップ執筆 [業務] Web/PF脆弱性診断 インシデントレスポンス全般

  3. HTTP/2 • IETF(Internet Engineering Task Force)の httpbisによって制定されたHypertext Transfer Protocolのバージョンの1つ •

    現在の仕様では、HTTP/2.0ではなく HTTP/2 または HTTP2 が正しい呼び方。

  4. HTTP 1992年 HTTP/0.9 1996年5月 HTTP/1.0 RFC化 1999年6月 HTTP/1.1 RFC化 2009年

    SPDY/1 SPDY/2 SPDY/3 SPDY/3.1 SPDY/4 => HTTP/2 2015年2月 HTTP/2 正式承認 現在 RFC化対応中

  5. きっかけ • HTTP/2がWebアプリケーション脆弱性診断に 与える影響を見極める • HTTP/2の実装におけるセキュリティリスクを把 握し理解する • HTTP/2に対応するアプリケーション設計・開 発におけるセキュリティリスクを理解する

  6. HTTP/2の特徴 • バイナリベースのプロトコル • プロトコルの単位がフレーム(TCPコネクションではない) – HTTP/1.Xでは、リクエストごとにTCPコネクションを張りなおして いた • TCPコネクションを並列化・多重化できる

    • ヘッダ圧縮 • サーバからコンテンツをプッシュできる • TLS上で実装時の制約 – TLS1.2以上 – 再ネゴシエーションの禁止 – 圧縮利用の禁止 – 特定のCipher Suiteを必須化 • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  7. フレーム送受信 HEADERSフレーム stream_id=1 PUSH_PROMISEフレーム stream_id=2, stream_id=4 DATA/HEADERSフレーム stream_id=2 DATA/HEADERSフレーム stream_id=4

  8. 今後のポイント • HTTP/2のRFC告知 • HTTP/2に関するドラフトupdate – WebPush – 日和見暗号 –

    Alternative Services など • HTTP/2のアプリケーション実装 • 各種ツール/機器の対応状況

  9. 参考リンク • HTTP2 Advent Calendar 2014 – http://qiita.com/advent-calendar/2014/http2 • Httpbis

    Status Pages – https://tools.ietf.org/wg/httpbis/draft-ietf-httpbis-http2/ • Hypertext Transfer Protocol version 2 draft-ietf-httpbis-http2-17 – https://tools.ietf.org/html/draft-ietf-httpbis-http2-17 • HTTP/2 Japan Local Activity – http://http2.info/

  10. Any Question? • Social Account – Twitter : @YuhoKameda •

    URL – https://www.owasp.org/index.php/User:Yuho_Kameda • E-mail – [email protected]