Gli URL sono visualizzati durante le transazioni HTTPS / 2 su uno o più siti Web da un singolo IP distinguibile?

Naviga le tue risposte
0

Questo è un seguito alla domanda originale Gli URL vengono visualizzati durante le transazioni HTTPS su uno o più siti Web da un singolo IP distinguibile?

D.W. ha fornito un riepilogo completo sui vettori di attacco sulle connessioni HTTPS / TLS.

La mia domanda: Quali sono i vettori di attacco contro http / 2? I vettori di attacco contro HTTP / 2 sono uguali a quelli di HTTP o alcuni di essi sono mitigati dalle funzionalità HTTP / 2 ? (e: ce ne sono di nuovi).

HTTP / 2 consente di servire più richieste su una singola connessione, quindi potenzialmente (?) un intercettatore non sarebbe più in grado di estrarre le informazioni sulla dimensione e sui tempi come in https. Inoltre, poiché viene utilizzata una singola connessione, anche il numero e le dimensioni delle risorse (diverse dal totale) dovrebbero essere oscurate?

Vettori esistenti da HTTPS:

TLS reveals to an eavesdropper the following information:

  • the site that you are contacting
  • the (possibly approximate) length of the rest of the URL
  • the (possibly approximate) length of the HTML of the page you visited (assuming it is not cached)
  • the (possibly approximate) number of other resources (e.g., images, iframes, CSS stylesheets, etc.) on the page that you visited (assuming they are not cached)
  • the time at which each packet is sent and each connection is initiated. (@nealmcb points out that the eavesdropper learns a lot about timing: the exact time each connection was initiated, the duration of the connection, the time each packet was sent and the time the response was sent, the time for the server to respond to each packet, etc.)

Tutte queste rivelazioni sembrano (?) fare affidamento sulla relazione 1: 1 tra la richiesta HTTP e la connessione TLS. Quindi con quel rapporto 1: 1 andato dovrebbe / potrebbe essere più difficile estrarre queste informazioni (ma alla fine non è impossibile)?

    
posta stwissel 30.05.2017 - 16:55
fonte

1 risposta

1

La tua domanda riconosce che TLS stessa protegge il contenuto reale della richiesta HTTP (e quindi l'URL completo) e la risposta utilizzando la crittografia. Ma si presuppone anche che i metadati come l'analisi del flusso possano essere utilizzati per rivelare euristicamente l'URL a cui si accede nel caso in cui l'aggressore possa accedere allo stesso URL per ottenere lo stesso contenuto. Quindi la domanda è rilevante solo per gli URL che sono utilizzati per accedere al contenuto pubblico disponibile (o almeno all'attaccante disponibile).

HTTP consente in questo caso l'analisi del flusso per restringere l'URL a cui si accede. Ciò significa che un utente malintenzionato può eseguire la scansione di un sito e creare un modello che include la dimensione della richiesta e la dimensione della risposta o gli orari di arrivo dell'interpack per ciascun URL. Sulla base di queste informazioni, l'attaccante può in molti casi rilevare euristicamente quale tra gli URL (noti) di un sito a cui la vittima sta accedendo.

Con HTTP / 2 questo diventa più difficile perché contrariamente a HTTP / 1.x le richieste non vengono gestite sequenzialmente all'interno della connessione TCP / TLS ma in parallelo. Tuttavia penso che sia ancora possibile costruire un modello del modello di flusso che si verifica quando si accede a un URL specifico. Ma potrebbe essere più difficile costruire un tale modello poiché ora non è solo necessario ottenere il pattern per un URL specifico, ma invece ottenere il pattern quando un URL specifico viene visitato e tutte le risorse vengono caricate - e questo per varie varianti di quali risorse sono già state memorizzate nella cache e quali no. Tuttavia, penso che questo sia solo un lavoro in più ma non un problema qualitativamente più difficile.

    
risposta data 31.05.2017 - 21:06
fonte

Leggi altre domande sui tag

La tokenizzazione della carta di credito ha una data di scadenza? Quali sono i rischi di avere una porta in avanti attraverso un gateway NAT su un IP inutilizzato?