Re: Об одной малоизвестной уязвимости в веб сайтах
Валентин Бартенев
vbart at nginx.com
Tue Jun 17 11:04:44 UTC 2014
On Tuesday 17 June 2014 13:31:16 Gena Makhomed wrote:
[..]
> >> "SHOULD NOT" - это не запрет, а только лишь рекомендация:
> >> http://tools.ietf.org/html/rfc2119#section-4
> >> так что формально и фактически Chrome ничего не нарушает.
> >
> > Фактически - упомянутый "SHOULD NOT" на тот момент безусловно
> > отклонялся Apache'ом,
>
> И это безусловный BUG апача, копировать его в nginx - нет смысла.
> Apache ведь не является reference implementation протокола HTTP/1.1
>
[..]
Там было и другое:
11.1. Security Considerations for server_name
If a single server hosts several domains, then clearly it is
necessary for the owners of each domain to ensure that this satisfies
their security needs. Apart from this, server_name does not appear
to introduce significant security issues.
Since it is possible for a client to present a different server_name
in the application protocol, application server implementations that
rely upon these names being the same MUST check to make sure the
client did not present a different name in the application protocol.
http://tools.ietf.org/html/rfc6066#section-11.1
В частности, клиент может запросить по SNI один виртуальный хост,
и исходя из этого будет проверен его клиентский сертификат, а
также выбраны настройки шифрования, а затем на уровне HTTP,
запрашивать совсем другие виртуальные хосты, тем самым обходя
настройки TLS для этих хостов.
--
Валентин Бартенев
Подробная информация о списке рассылки nginx-ru