Come posso rilevare se IETF TokenBinding è in uso per i token bearer?

2

Token Binding aumenta la sicurezza dei token bearer tradizionali (cookie).

Questo blog descrive che ASP.NET può utilizzare Token Binding. Come consulente per la sicurezza, mi piacerebbe osservare o rilevare che ciò avvenga da una prospettiva esterna.

link

Quale tecnica (netmon) o tooling mi consente di determinare se l'associazione del token è in uso per un determinato sito web?

    
posta random65537 13.03.2016 - 13:32
fonte

1 risposta

1

When a server supporting the Token Binding protocol receives a bound token, the server compares the TLS Token Binding ID in the security token with the TLS Token Binding ID established with the client. If the bound token came from a TLS connection without a Token Binding, or if the IDs don't match, the token is discarded.

( bozza )

Il problema è che non credo che nessun client stia implementando l'associazione di token che segue la bozza. Quindi dovresti creare tu stesso un client di prova e quindi cancellare o modificare la chiave privata e il token di trasporto dovrebbe essere eliminato.

Non saprei dire perché un cliente vorrebbe averlo testato sui suoi server. Esistono client (client software) che supportano l'associazione dei token? Sembra che .net sia uno dei primi pezzi di software a supportare il protocollo. Inoltre, il protocollo è ancora una bozza quindi ci vorrà un po 'di tempo prima di vedere l'adozione.

    
risposta data 03.05.2016 - 12:46
fonte

Leggi altre domande sui tag