Хакер #305. Многошаговые SQL-инъекции
Несколько дней назад специалисты компании Netcraft представили исследование, согласно которому, большинство HTTPS-серверов в мире вообще не используют механизм HSTS (HTTP Strict Transport Security). Теперь эксперты подготовили новое исследование, на этот раз изучив использование механизма привязки открытых ключей (HPKP, HTTP Public Key Pinning). В случае HPKP ситуация оказалась еще более плачевной: его используют 0,09% ресурсов, то есть менее 4100 сайтов.
Технология HTTP Public Key Pinning позволяет администраторам сайтов привязать к ресурсу публичный ключ на клиентской стороне, для чего используется специальный HTTP-заголовок. В результате, при первом посещении ресурса, браузер пользователя запоминает отпечатки этих публичных ключей и сверяется с ними в ходе последующих посещений сайта. Данный метод позволяет заметить различные махинации с сертификатами и их подмену, что должно помочь предотвратить атаки типа man-in-the-middle.
К сожалению, невзирая на очевидную пользу HPKP, механизмом практически никто не пользуется, сообщает Netcraft. Специалисты компании подcчитали, что HPKP применяют лишь 0,09% сайтов, то есть менее 4100 различных ресурсов. Хуже того, настроить HPKP правильно сумели администраторы менее 3000 сайтов, в остальных случаях механизм привязки открытых ключей функционирует неправильно.
В Netcraft полагают, что основная причина низкой популярности HPKP, это вовсе не молодость стандарта, а тот факт, что администраторы опасаются допустить ошибку в настройках и случайно отсечь от сайта львиную долю посетителей. К тому же администраторы боятся рисковать: если оператор потеряет ключи сертификатов, у сайта возникнут большие трудности.
Основная загвоздка – жизненный цикл отпечатков ключей (policy lifetime, за который отвечает параметр max-age). Это значение администраторы сайтов должны определить самостоятельно, и здесь все поступают по-разному. К примеру, GitHub использует HPKP, и policy lifetime сайта равен всего 300 секундам. Mozilla рискует больше, так как их policy lifetime составляет 15 дней. Но больше всех, по данным специалистов Netcraft, рискуют операторы Pixabay: policy lifetime в их случае равен году, то есть утеря ключей, скорее всего, будет означать крах всего бизнеса.