Come Chrome evita sslstrip?

Naviga le tue risposte
3

Sto provando lo strumento sslstrip di Moxie nel mio laboratorio del pentestore. Funziona su tutte le mie VM ma non su tutti i browser. Firefox e IE sono vulnerabili ma Chrome sembra avere una protezione contro.

Qualcuno sa come Chrome difende da quello strumento?

    
posta yzT 23.12.2012 - 15:36
fonte

1 risposta

6

Il browser Google Chrome utilizza l'elenco precaricato HSTS . Anche Firefox 17 (versione più recente) ha aggiunto il supporto per l'elenco. È lo stesso elenco utilizzato da Google Chrome. L'HSTS, oltre ad avere un sito Web HTTPS unico, è la migliore soluzione per questo tipo di attacco. Il tuo sito Web HTTP deve solo reindirizzare in modo permanente a HTTPS e non fornire alcun contenuto.

    
risposta data 23.12.2012 - 16:49
fonte

Leggi altre domande sui tag

La compressione TLS può essere abilitata su siti CDN di terze parti privi di autenticazione? Esistono speciali vettori di attacco per i database statistici?