Controllo dello stato HSTS dei domini

18

Il browser Google Chrome offre un modo rapido per controllare lo stato di HSTS (HTTP Strict Transport Security) di un dominio tramite la pagina chrome://net-internals/#hsts (sezione dominio di query ).

Il risultato della query appare per es. così:

Found:
domain: owasp.org
static_upgrade_mode: UNKNOWN
static_sts_include_subdomains: 
static_pkp_include_subdomains: 
static_sts_observed: 
static_pkp_observed: 
static_spki_hashes: 
dynamic_upgrade_mode: STRICT
dynamic_sts_include_subdomains: false
dynamic_pkp_include_subdomains: false
dynamic_sts_observed: 1409173001.03746
dynamic_pkp_observed: 1409173001.03746
dynamic_spki_hashes: 

Che cosa significano queste righe? La modalità HSTS è abilitata o no? Qual è la differenza tra le voci dynamic_ e static_ del risultato?

    
posta Marek Puchalski 03.10.2014 - 11:22
fonte

3 risposte

12

Se una delle righe static_upgrade_mode: o dynamic_upgrade_mode: è impostata su STRICT , HSTS è abilitato.

Dinamico

Dynamic significa che al browser è stato richiesto di abilitare HSTS da un'intestazione di risposta HTTP (servita su TLS) simile alla seguente:

Strict-Transport-Security: max-age=157680000; includeSubDomains;

Questo è vulnerabile a un attacco in cui la prima volta che il browser richiede il dominio con http:// (non https:// ) un avversario intercetta la comunicazione.

Static

Per superare questa debolezza abbiamo la modalità static che consente di registrare hard-coding HSTS direttamente nella sorgente del browser. L'intestazione viene modificata per indicare l'intenzione dell'amministratore:

Strict-Transport-Security: max-age=157680000; includeSubDomains; preload

Nota l'inclusione di preload alla fine. Il dominio è quindi inviato per la revisione. Se approvato, viene aggiunto a l'elenco Chromium che è anche incluso negli elenchi di Firefox, Safari e IE 11 + Edge.

    
risposta data 01.09.2015 - 09:02
fonte
4

Quando esegui una query su chrome://net-internals/#hsts , interroga solo i siti HSTS memorizzati che hai visitato utilizzando chrome. La parte static_ e dynamic_ mostra i metodi per abilitare STS per la comunicazione.

Il risultato mostra che non ci sono metodi static definiti solo i metodi dynamic ci sono. pop e sts nel risultato indicano public-key-pinning e strict transport security in modo reiterato. Quindi dynamic_pkp_observed e dynamic_sts_obeserved è il tempo per STS abilitato per il doamin. Il servizio token di sicurezza è consentito su quel dominio ma non per i sottodomini.

Sarebbe meglio usare "arricciatura" per controllare le m Ad esempio:
curl -siL "owasp.org" | grep "Strict" (-L per reindirizzare a https)

Se il dominio è configurato per utilizzare STS, nella risposta del server verrà visualizzata l'intestazione Strict-Transport-Security: max-age = valore
Questo è il motivo per cui prendo in considerazione Strict .

    
risposta data 03.10.2014 - 14:02
fonte
1

static significa browser (in questo caso Chrome) Siti HSTS precaricati
dynamic indica i siti che sono stati scelti up "on the go" o aggiunto manualmente

pkp sta per Pubblico Key Pinning , ovvero Chrome 69 deprecato
spki_hashes sta per SubjectPublicKeyInfo hashes

_include_subdomains significa se includere sottodomini nella richiesta
_observed è la ora UNIX su cui il browser ha prima osservato la richiesta
_expiry è la ora UNIX in cui il browser dimenticherà la richiesta

    
risposta data 21.10.2018 - 23:08
fonte

Leggi altre domande sui tag