Domande con tag 'hpkp'

1
risposta

È possibile utilizzare HPKP per tenere traccia degli utenti?

Esiste già una vasta gamma di "supercookies" e metodi di fingerprinting del browser. Mi chiedo se HPKP offra ancora un altro metodo per tracciare gli utenti? Un server potrebbe inviare una chiave di backup extra che non è destinata a essere u...
posta 08.06.2016 - 12:56
1
risposta

HPKP per certificati autofirmati

On link , e link nella prima casella gialla, afferma che Google Chrome e Firefox disabilitano la convalida dei pin per gli host (server) che utilizzano un certificato autofirmato. Il server a cui mi sto connettendo utilizza un certifica...
posta 09.05.2017 - 14:53
2
risposte

Quali sono gli svantaggi di HPKP?

Ho notato che molti siti Web non implementano HPKP anche se è semplice da implementare. C'è qualche aspetto negativo ad esso?     
posta 10.04.2017 - 08:04
2
risposte

Che cos'è HPKP e come funziona in caso di siti Web

Stavo guardando all'implementazione di HTTP Strict Transport Security (HSTS) in firefox. Firefox memorizza questi dati per i siti in un file chiamato SiteSecurityServiceState.txt Vedo voci in esso come - support.mozilla.org:HPKP 3...
posta 17.03.2017 - 13:29
1
risposta

L'HPKP non diventa inutile dopo che è scaduta l'età massima?

L'idea di base di HPKP era quella di proteggere i tuoi utenti dagli attacchi MITM se una CA intermedia emetteva accidentalmente un certificato fraudolento per il tuo dominio all'autore dell'attacco. Perni o chiavi o hash sul certificato e i...
posta 17.11.2016 - 14:03
1
risposta

può il blocco dei certificati HPKP disabilitare l'ispezione DPI sul firewall?

È possibile che Firefox e Chrome disabilitino la convalida dei pin per gli utenti che hanno importato certificati root personalizzati tutte le violazioni di blocco vengono ignorate. Qual è l'impatto di questo? Il browser segnala eventuali avvisi...
posta 28.09.2017 - 07:41
1
risposta

Quali sono le colonne in SiteSecurityServiceState.txt di Firefox? [chiuso]

Il file SiteSecurityServiceState.txt di Firefox (situato nella cartella del profilo) registra i tempi HSTS e i tempi e i pin di scadenza HPKP. Ci sono più colonne e non so cosa rappresentino: Un esempio di voce HSTS: api.github.com:HSTS 74...
posta 13.10.2016 - 20:25
3
risposte

È possibile intercettare il protocollo SSL senza disabilitare la chiave pubblica sul lato client?

Attualmente sto configurando un firewall pfSense nel mio laboratorio. Supporta SSL Inception che funziona abbastanza bene per la maggior parte dei siti. Ma ci sono alcuni siti che usano HTTP Public Key Pinning per prevenire gli attacchi MitM...
posta 05.07.2016 - 23:36
1
risposta

Esistono meccanismi per precaricare il blocco della chiave pubblica HTTP

Per HTTP Strict Transport Security ( HSTS ), c'è un elenco di precaricamento, che i proprietari dei siti possono inviare il loro sito a un elenco di nomi di dominio con cui i fornitori di browser spediscono i loro browser. Esistono m...
posta 24.11.2016 - 21:16
1
risposta

Qual è la differenza tra il blocco dei certificati e il truststore in Android / iOS? [duplicare]

Sto affrontando l'implementazione del blocco dei certificati e spesso mi viene chiesto perché se ci sono negozi di fiducia all'interno di Android, iOS non ha un tale concetto. Quindi sono obbligato a costruire lo standard HPKP e Pin due chiavi...
posta 26.02.2018 - 23:36