Как защитить apache от атаки KRACK (или аналогичного MITM)?
В видеоролике, опубликованном на его веб-сайте www.krackattacks.com, исследователь безопасности Mathy Vanhoef продемонстрировал, что возможно переключение HTTPS-соединения на HTTP, а затем перехват учетных данных входа.
Я запускаю небольшой сервер https (Apache, Ubuntu 16.04), и я хотел как настроить его таким образом, чтобы отклонить любые попытки понизить HTTPS-запросы.
Как проверить, будет ли мой экземпляр Apache принимать и соблюдать браузер запросить понижение HTTPS до HTTP? Как я могу повторно настроить Apache для отклонения таких запросов от браузеров? Есть ли причина не делать (2) выше? Поддержка пользователей старыми браузерами - это то, о чем я могу думать, есть ли что-то еще, что мне не хватает?3 ответа
Один параметр просто не разрешает только HTTP https.
Другой вариант - использовать HTTP Strict Transport Security.
Вы можете сделать это в Apache, добавив
Заголовок всегда устанавливает Strict-Transport-Security «max-age = 31536000; includeSubDomains»
К вашему TLS включенному vhost. Вы также должны перенаправлять любые запросы, сделанные на http на https, чтобы гарантировать, что эти палочки.
-
1Невозможно отключить http. Я буду смотреть на Strict-Transport-Security, спасибо за указатели. – sмurf 20 October 2017 в 16:14
-
2Почему вы не можете запретить http? – vidarlo 20 October 2017 в 16:15
-
3Потому что у меня есть статический контент, который не нужен https. С другой стороны, я мог бы просто переместить все на https vhost и покончить с этим. Это сломает старые ссылки, хотя ... – sмurf 20 October 2017 в 16:18
-
4Это позволяет вам открыться для других типов атак, таких как захват файлов cookie. HSTS сообщит браузеру, что они должны преобразовать ВСЕ ваши HTTP-ссылки в https, чтобы он не нарушал старые ссылки. – jdwolf 20 October 2017 в 16:23
-
5Тогда оставить доступным http не так много, за исключением того, что те, кто предпочитает использовать его вместо https, уязвимы для всех видов атак, но нет ложного чувства безопасности – jdwolf 20 October 2017 в 16:25
Один параметр просто не разрешает только HTTP https.
Другой вариант - использовать HTTP Strict Transport Security.
Вы можете сделать это в Apache, добавив
Заголовок всегда устанавливает Strict-Transport-Security «max-age = 31536000; includeSubDomains»
К вашему TLS включенному vhost. Вы также должны перенаправлять любые запросы, сделанные на http на https, чтобы гарантировать, что эти палочки.
Один параметр просто не разрешает только HTTP https.
Другой вариант - использовать HTTP Strict Transport Security.
Вы можете сделать это в Apache, добавив
Заголовок всегда устанавливает Strict-Transport-Security «max-age = 31536000; includeSubDomains»
К вашему TLS включенному vhost. Вы также должны перенаправлять любые запросы, сделанные на http на https, чтобы гарантировать, что эти палочки.