Browser e blocco della chiave pubblica HTTP

Naviga le tue risposte
6

La forza di HTTP Public Key Pinning (HPKP) è che i browser stanno salvando le chiavi dall'intestazione HTTP e possono controllare in futuro se il certificato dal sito web è valido.

Ho due domande a riguardo perché non sono riuscito a trovare una buona risposta:

  • Supponiamo che l'intestazione HTTP indichi che il codice chiave è valido per 60 giorni (età massima). Dove viene salvato? Quando cancello la cronologia e la cache del browser ogni giorno, HPKP è inutile?
  • Supponiamo, sono su un sito Web che supporta HPKP e l'intestazione HTTP dice che il codice pin è valido per 60 giorni. Ora, quando visito nuovamente il sito Web dopo una settimana e l'intestazione HTTP è sempre la stessa, è valida ancora per 60 giorni, giusto?
posta Aliquis 04.11.2015 - 19:31
fonte

1 risposta

4

Assume, the HTTP header says that the key pin is valid for 60 days (max-age). Where is it saved? When I delete my browser history and cache every day, is HPKP pointless then?

Dipenderà dal browser. Di solito ci sono diversi "negozi" che puoi pulire, ma dovresti contattare il venditore del browser per sapere come fare questo / richiedere un modo per ripulire la cronologia e i cookie ma non le penne chiave.

(Nota che, a seconda del tuo obiettivo, può essere sminuito con il pinning. Se vuoi solo evitare di essere preso dalle impronte digitali della compagnia, le tenine non dovrebbero essere un problema per ora¹, ma se vuoi nasconderlo hai effettuato l'accesso a un sito Web e in seguito è stato trovato un blocco per questo nel computer ...)

Assume, I am on a website that supports HPKP and the HTTP header says that the key pin is valid for 60 days. Now, when I visit the website after a week again and the HTTP header is still the same, then it's valid for 60 days once more, right?

Esatto.

¹ E 'possibile abusarne per esporre siti visitati o anche lavorare come supercookie, però. Guarda le diapositive per l'attacco Sniffly a link

    
risposta data 04.11.2015 - 23:55
fonte

Leggi altre domande sui tag

In che modo Facebook sa che la mia nuova password è troppo simile alla mia vecchia password? [duplicare] Scoprire l'indirizzo IP o Mac dei dispositivi mobili che passano.