HPKP è un'alternativa a DNSSEC? [duplicare]

0

Usando l'intestazione Pinning della chiave pubblica, l'utente si fida solo del mio certificato SSL, presumibilmente.

Se utilizzo solo HPKP e il certificato è sicuro, l'utente malintenzionato non lo ha capito, è possibile che l'autore dell'attacco esegua un MITM o qualcosa del genere?

Nella mia mente, probabilmente sbagliato, l'attaccante è ancora in grado di reindirizzare l'utente in un'altra posizione, ma non ha il certificato, quindi l'HPKP lo bloccherà. Ciò impedirà all'utente di consumare il contenuto dal server falso .

Hai un motivo per usare HPKP + DNSSEC?

    
posta Inkeliz 06.06.2017 - 08:15
fonte

1 risposta

1

HPKP è TOFU (Fiducia al primo utilizzo). Quindi, se un sistema utente viene compromesso, ma il browser conserva ancora il pin, quando il malware reindirizza la richiesta di URL a un falso certificato al proprio proxy fasullo. il browser mostrerà un errore come "SSL_PINNED_KEY_NOT_IN_CERT_CHAIN" (varia a seconda del browser).

Tuttavia, alcuni siti lo fanno erroneamente, ad es. come report di Netcraft: Chiave pubblica HTTP Appuntare: stai sbagliando!

Inoltre, poiché la sua natura TOFU, HPKP non è a prova di proiettile per MiTM.

Tuttavia, se hai un'applicazione webapp / mobile che eredita il pin per HPKP, la tua webapp sarà protetta dall'attacco MiTM se implementata correttamente

    
risposta data 06.06.2017 - 10:37
fonte

Leggi altre domande sui tag