Domande con tag 'hsts'

domande con tag
1
risposta

L'intestazione HSTS è utile senza un certificato riconosciuto?

L'applicazione su cui sto lavorando è accessibile solo tramite l'indirizzo IP, quindi la connessione HTTPS viene fornita tramite un certificato personalizzato. Ho spiegato al mio cliente che (dai documenti MDN ) [...] when your site is...
posta 13.04.2018 - 13:36
1
risposta

Come includere la politica HSTS nel pacchetto di risposte dns

Voglio proteggere i client dall'attacco sslstrip. HSTS dovrebbe essere usato. Ma HSTS non protegge la prima visita del client sul server. Quindi voglio includere la politica HSTS nelle risposte dns e inviare ai client che stanno richiedendo. È p...
posta 28.07.2017 - 13:09
1
risposta

Perché bettercap e sslstrip funzionano a volte su Google e Facebook?

sslstrip e bettercap funzionano "a volte" sui browser Chrome su siti come Facebook, Google, AOL e altri siti che utilizzano il precarico HSTS. Perché funziona a volte quando non dovrebbe funzionare affatto?     
posta 17.07.2018 - 01:12
1
risposta

La direttiva inlcudeSubDomains di HSTS include sottodomini su tutti i livelli?

Ho fatto questa domanda su Stack Overflow, ma ho pensato che fosse più pertinente qui. Riguardo alla direttiva includeSubDomains dell'HSTS. Questo include ogni sottodominio sottostante ad es. example.com. Quindi è incluso anche abc.def.example.c...
posta 26.05.2016 - 12:40
3
risposte

Lo spoofing ARP o DNS svolge un ruolo quando si esegue MITM in falsi attacchi AP?

Ho un ambiente di test, dove provo alcuni strumenti e approcci di hacking wireless, e ultimamente mi sono interessato ai cattivi attacchi gemelli. Ho creato un AP falso usando airbase-ng e specificato manualmente le tabelle IP, a che punto se il...
posta 06.06.2016 - 23:33
2
risposte

Elenco di siti che ancora non supportano HSTS?

Sto lavorando a un articolo per lavoro e alla ricerca di un elenco dei primi 500 siti Web (classificati da Alexa ) che ancora non ho il supporto per HSTS. Esiste un elenco di questo tipo? Non ricevo risultati interessanti dalle mie query di Goo...
posta 18.05.2018 - 03:59
2
risposte

Come è giustificato il pericolo / badidea / thisisunsafe?

Lo standard HSTS afferma quanto segue: 12.1. No User Recourse Failing secure connection establishment on any warnings or errors (per Section 8.4 ("Errors in Secure Transport Establishment")) should be done with "no user recourse"....
posta 14.10.2018 - 14:11
1
risposta

Bypassing HSTS e pin chiave pubblica con caratteri simili

Utilizzo di simboli di carattere simili per aggirare l'HST e il blocco della chiave pubblica con lo spoofing DNS tramite MITM Attack. Reindirizzamento: facebook.com - > Facebook.com - Ho visto SSLStrip + usando la tecnica di aggiunge...
posta 15.07.2018 - 22:58
1
risposta

HSTS Tipo di implementazione e risposta

Ho implementato l'HSTS nel mio sito Web ASP.Net MVC. Ma se faccio una richiesta HTTP (non HTTPS), la richiesta si sta propagando usando il canale HTTP e la risposta è 301: Moved Permanently. E dalla seconda richiesta in poi, sta comunicando tram...
posta 03.04.2017 - 05:44
1
risposta

HSTS implementato ma non funzionante?

Durante il collegamento su una rete molto ristretta, ero in grado di accedere a Internet solo tramite un proxy Squid che era configurato solo per HTTP sulla porta 80. Durante la navigazione su google.com, riesco a ricevere il sito senza SSL a...
posta 24.01.2017 - 05:30