SSL stripping: Amikor egy támadó a felhasználó és a weboldal közötti kapcsolatot HTTP-re visszaminősíti, a titkosítás megszűnik, és az adatforgalom lehallgatható.

Man-in-the-middle (MITM): a támadó közbeékelődik, és módosíthatja vagy figyelheti az adatokat.

Cookie hijacking: ha a kapcsolat nem HTTPS, a sütik könnyen megszerezhetők és visszaélhetők.

Szituációs példám

Egy szituációs példán keresztül szeretném bemutatni, hogyan működik az általam említett SSL stripping, s egyúttal azt is megfogod érteni, miért nem elég önmagában az átirányítás.

1 ) Nyilvános Wi-Fi vagy nem biztonságos hálózat: A támadó egy beékelődő (MITM) pozícióban van, például egy étterem, vagy bármelyik kemping nyílt Wi-Fi hálózatán, ahogy a gyanútlan felhasználó is pont ugyanazon a hálózaton. A támadók a nyílt hálózat lehetőségeit imádják kiaknázni, hiszen ők így egy DHCP alapú IP cím kiosztás ellenőrzésénél sem tudnak lebukni.

2 ) Felhasználó beírja a címet: a böngészőben a felhasználó beírja http://példa.hu (nem https://!), vagy egy linket követ, ami HTTP.

3 ) Támadó elfogja a kérést: a támadó megakadályozza, hogy a böngésző elérje az eredeti HTTPS verziót, és helyette egy HTTP verziót szolgál ki.

4 )HTTPS átirányítás blokkolása: a támadó módosítja vagy eltávolítja a szerver válaszában lévő HTTPS-re mutató átirányítást.

5) Felhasználó HTTP-n marad: a felhasználó nem veszi észre, hogy nem titkosított kapcsolaton van. Tehát bejelentkezik → így már az adatok lehallgathatók. A Google Page Speed számára ezért fontos ez.

•  Az átirányítás csak akkor történik meg, ha a böngésző eléri a szervert.
• Ha a támadó megelőzi ezt, és hamis válaszokat küld, a böngésző sosem jut el a HTTPS verzióhoz.
• Ezért kell a HSTS fejléc, mert azzal a böngésző soha nem próbálkozik HTTP-vel, még első alkalommal sem.

💡 Hogyan állítható be egy weboldalon egy megfelelő HSTS fejléc❓

A legtöbb GNU/Linux operációs rendszeren működő Apache szerver, már a 2.4 feletti verziókat használja. Ez azért fontos, mert ezek már támogatják az <IF> direktívákat, így egy egyszerű .htaccess bejegyzéssel a HSTS fejléc beállítható. Az alábbi kódot érdemes használni 👇

<IfModule mod_headers.c>
  <If "%{HTTPS} == 'on'">
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
  </If>
</IfModule>

Csak röviden ennek szakmai gyökereiről

Tulajdonképpen maga a dokumentációs anyag már a 2012-es évre visszavezethető. Hiszen a HSTS fejléc nagyon jól be van mutatva az 🔗 RFC-6797 nevű szakmai anyagban. Ez az a dokumentáció ami kellő részletességgel ír erről a fontos biztonsági mechanizmusról.

• Leírja például, hogyan működik.
• S azt is, hogy milyen támadások ellen véd. Például passzív lehallgatás, aktív támadások, ahogy feljebb már írtam is, SSL stripping, de a DNS spoofing vagy akár a hamis hozzáférési pontok témáját is érinti.
• Jó, különböző fejlesztési hibák ellen is. Mert ügye, ha egy weboldal sima HTTP:// -n keresztül töltődik be, akkor például CSS, JS útján támadási felületet jelenthet.

A HSTS fejléc beállítása még nem elég, gondoskodni kell, annak bejelentéséről is❗

A 🔗 https://hstspreload.org/ oldal jelen témám által tárgyalt HTTP Strict Transport Security azaz HSTS fejléc preload listáját kezeli. Amely lehetővé teszi a weboldalak számára, hogy automatikusan HTTPS kapcsolaton keresztül töltődjenek be, minden esetben.

Az oldal jelentősége abban rejlik, hogy segít a weboldalak biztonságának növelésében, mivel megakadályozza a felhasználók által végzett nem biztonságos HTTP kapcsolatok használatát. Így csökkenti a fentiekben általam már kifejtett man-in-the-middle támadások kockázatát.

✅ Rendszeresen szoktam pásztázni az online teret. Detektáltam, hogy nagyon sok, egyébként tényleg szakmailag kiemelkedő 🔗 SEO témákkal foglalkozó szakemberek figyelmét is ez bizony elkerülte. Nyilván neveket nem fogok mondani, célom az ismeretterjesztés és nem pejoratív fókuszba helyezés. A másik pedig, hogy a szakemberek többségének nem kifejezetten a 🔗 keresőoptimalizálás biztonságtechnikai aspektusai az erősségük.

Ezért gondoltam hasznos lesz mindenkinek. 🙏 Remélem hamarosan találkozunk ismét, talán egy teljesen más jellegű témám keretében❓ 😉