H31春  午後1  問2  設問1 (3)について

まめさん  
(No.1)
メールサーバPにHSTSが実装されていたとしても、この問の状況では、攻撃者が用意したwebサーバに接続されてしまうと思うのですが、この認識で間違いないでしょうか?
2022.03.20 15:30
pixさん 
SC ダイヤモンドマイスター
(No.2)
「HTTP->HTTPSの常時リダイレクト化」と「HSTS」の区別が曖昧のようです。

オリジンは以下のようなものと想定されます
メールサーバPのオリジン:
「https://www.mailserver.com」
攻撃者のWebサーバのオリジン:
「http://www.mailserver.com」

違いは「https://」か「http://」かです。

「HTTP->HTTPSの常時リダイレクト化」はサーバ側でリダイレクトが行われます。
1.ブラウザから「http://www.mailserver.com」へアクセス
2.サーバ側でリダイレクトが行われ、ブラウザに
  「https://www.mailserver.com」へ
  アクセスしなおすように応答する
3.ブラウザは改めて、「https://www.mailserver.com」へアクセス

このフローの1.と2.の間には中間者が割り込む隙があり、本問ではその隙が
つかれたということになります。

一方「HSTS」は
1.はじめて「https://www.mailserver.com」へ
  アクセスしたときにブラウザ内のHSTS対象リストにFQDNが登録される
  (リストの保持期間は1年以上と長期になります)
2.ブラウザが「http://www.mailserver.com」へアクセスする際に
  HSTS対象のURLであれば、ブラウザ側で
  「https://www.mailserver.com」にURLを変換する
3.サーバ側へは最初から「https://www.mailserver.com」で
  アクセスにいくことになる

このフローでは2.と3.の間には最初から「https://」で通信することになり、
中間者が入り込む隙がなくなります。

もちろん前提としてメールサーバPへのアクセスが初めてではなく、HSTS対象リストが
作成されている必要があります。
2022.03.20 16:16
まめさん  
(No.3)
pixさん
大変わかりやすかったです。
とてもスッキリしました。

まだ疑問が残るのですが、HSTSが実装されていてもメールサーバPへのアクセスが初めての時には、攻撃者が用意したwebサーバに接続されてしまうという認識で間違いないでしょうか?
2022.03.20 17:18
pixさん 
SC ダイヤモンドマイスター
(No.4)
>まだ疑問が残るのですが、HSTSが実装されていてもメールサーバPへの
>アクセスが初めての時には、攻撃者が用意したwebサーバに接続されてしまう
>という認識で間違いないでしょうか?

はい はじめてののアクセスならばブラウザ側でHSTSが効かないので、
「http://」でアクセスを開始してしまいます。
ですがシチュエーションとして、出張したときにはじめてメールサーバPへ
アクセスするという状況は考えずらいので、そこは無視していいかと思います。
2022.03.20 17:37
まめさん  
(No.5)
とてもスッキリしました。
とてもわかりやすくて、感動しております。
ありがとうございました。
2022.03.21 07:17

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop