文章目录
Security Challenges in an Increasingly Tangled Web
WWW 2017
1 背景&目的
目前的情况来看,网站是复杂且相关联的。到2016年为止,很少有网站是完全独立的,90%的网站会依赖外部内容。
同时呢,外部内容依赖的增加也会导致安全问题。本文据此调查了与此相关的两个安全问题:
- 与提供未知的、隐式信任的第三方内容相关的扩大的攻击面
- 外部依赖的增加如何影响HTTPS的部署
2 数据采集
本文关注的是桌面浏览器渲染流行网站时加载的那些资源(例如 图片、脚本、样式表等),本文使用的工具是无头版本的Chromium,通过记录网站的网络请求来构造每个站点的资源树。
数据集选取的是Alexa top 100W域名的所有网站,访问策略是,以google.com为例:
- 访问http://google.com
- 如果未响应则访问http://www.google.com
最后成功地加载了944000个网站,15K个域名没加载出来,13K个超时了,24K个抛出了HTTP错误码,5K个无法被Chromium渲染。
对于得到的资源还会做以下处理:
- 使用ZGrab对每个资源进行额外的HTTP和HTTPS请求,来看看这个资源是否支持HTTPS访问。
- 获取每个资源的SHA-1哈希
- 获取每个资源的AS
- 获取web server的Maxmind地理位置
对于数据来源的确定,本文使用Public Suffix List来区分本地和外部资源。例如,不考虑staticxx.facebook.com托管在一个不同的网站上而非www.facebook.com;考虑gstatic.com为google.com的外部资源。为了通过实体而非域名来对资源分组,本文还用每个资源的AS来对其标记。
3 网站复杂度
如下图所示,网站是变得越来越复杂了,依赖的外部内容越来越多。
3.1 网站组成
站点加载的资源数量有很大变化,top 100万的网站平均加载73种资源,如下图所示
其中一个复杂的情况,LA Times的主页包含540个资源,来自270个IP、58个AS、8个国家,如下图所示。
大多数资源是图片、脚本,如下表所示
几乎所有最常包含的资源都支持广告/跟踪程序。
3.2 外部依赖
top 100万网站中,有超过90%的网站有外部依赖,超过三分之二的资源是从外部网站加载的。Google、Facebook、Twitter、AppNexus这四家公司提供的内容很多,如下表
对外部资源进行了一个分类,发现分析和跟踪资源是最常见的,而广告和社交媒体占据了很大比重,如下表所示
3.3 网络提供商
云提供商、CDN、网络服务都可以像网站本身一样看到很多相同的数据,如果他们被攻击,则会影响到依赖他们的上游服务。为了测量流行网站依赖的服务提供商,本文通过AS聚合了资源。
至少20%的网站依赖于从Google、Facebook、Amazon、Cloudflare、Akamai 的AS加载的内容。十大最依赖的网络中有5个是CDN,2个是云提供商,1个Google扮演多种角色。如下表
从CDN加载内容对于许多网站来说不是什么特别严重的安全问题,但是也带来一定的风险,历史上也有针对CDN的攻击,例如CDN向数万个网站提供恶意JavaScript。针对这种攻击,浏览器引入了SRI支持,一个HTML扩展,允许开发人员指定资源的预期加密三列。SRI防止受到攻击的服务提供商修改预期内容,但是只有不到1%的网站使用SRI。
4 隐式信任
对外部信任的增加会增大网站和用户的攻击面,在许多情况下,网站运营商甚至不知道他们信任谁,因为外部服务加载了来自主网站运营商不知道的第三方的隐式信任内容
隐式信任就是网站直接引用的第三方内容又额外加载了第三方内容。这就有了安全隐患,包含隐式信任资源极大地增加了网站的攻击面,因为攻击者只需要攻击大量ad提供商中的一个,而不需要攻击主站点本身。
根据测量结果,DoubleClick是加载隐式内容最多的,Facebook、google、YouTube主要从fbcdn.net和gstatic.com那加载内容,如下表
隐式信任的内在特征是资源加载深度,定义资源的深度为从根页面加载的嵌套资源的数量。根据测量结果,隐式信任资源的中位深度是3。如下图
5 HTTPS Blockers
各个标准组织包括IETF、IAB、W3C,都呼吁使用HTTPS来保护web安全。Mozilla和Google都开始执行一些策略来推进HTTPS,但是在前100万的网站中只有35%的网站支持HTTPS,46%的HTTPS站点会将用户从HTTP重定向到HTTPS,11%的站点包含HSTS头,以指示未来的连接应该严格通过HTTPS服务。
有不少服务提供者都不想让网站升级到HTTPS,有报告称广告是最大的挑战,虽然有的广告网络和广告交换都支持HTTPS,但是部署情况参差不齐,这就可能导致网站利益损失。
为了使网站迁移到HTTPS,网站上的所有活动内容必须通过HTTPS加载,这是因为浏览器不会执行通过HTTP传递给HTTPS页面的活动内容,为了了解网站是否被阻止迁到HTTPS,本文检查了通过HTTP加载的那些外部内容,以及这些内容是否还可以通过HTTPS访问。
40%的HTTP请求的资源现在已经支持HTTPS访问了,45%的HTTP网站可以直接迁移到HTTPS,只要在他们的URL里升级一下协议。但是28%的HTTP-only网站加载第三方内容,而这些第三方还不支持HTTPS,也就是说这些网站没办法迁移到HTTPS,因为只有页面所有内容都是HTTPS之后才可以。
可将那些阻止网站升级到HTTPS的blocker可以分为两种:
- direct blocker:例如一个HTTP-only的分析脚本
- indirect blocker:例如一个HTTPS的广告商,其加载的第三方广告是HTTP
统计了一下blocker,如下表
最大的indirect blocker是那些在大多数网站上加载纯HTTP内容的服务,他们主要是广告商,如下表
不同类型站点之间的HTTPS部署存在很大差异,例如89%的购物网站已经部署HTTPS,而61%的新闻网站仍然使用HTTP,如下图
下表列出了每种类型网站的五个最大的blocker。
6 结论
- 64%的资源是外部加载来的,超过90%的网站依赖外部站点和网络的内容
- 前100万的网站的三分之一存在隐式信任,内容来自广告网络和其他第三方,大大增加了网站的攻击面
- 几乎28%的HTTP网站被阻止迁移到HTTPS,55个HTTP站点将不能完全兼容HTTPS,直到他们的依赖迁移
- comScore正在阻止top 10K网站中的27%升级到HTTPS
340
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
