Domande con tag 'hsts'

domande con tag
3
risposte

Aggiornamento - Richieste non protette come alternativa per HSTS

Ho visto che i siti Web trasformano automaticamente le richieste HTTP in HTTPS senza l'intestazione HTTP Strict Transport Security (HSTS). Quindi la riga seguente nella richiesta alleggerisce completamente la necessità di HSTS? Content-Secu...
posta 25.01.2018 - 08:26
1
risposta

Pinning certificato e MITM aziendale

Ciò che ancora non capisco del blocco dei certificati è: perché sono ancora in grado di accedere alle app di Google tramite un MITM aziendale? So che ho il certificato di root per la mia azienda installato sul mio PC, ma Google non dovrebbe gene...
posta 03.05.2015 - 23:57
1
risposta

Intestazioni di sicurezza HTTP su non HTML (immagini, JavaScript, ecc.)

Diciamo che le intestazioni di sicurezza HTTP di seguito sono applicate a tutte le pagine HTML di un sito: HTTP Strict Transport Security (HSTS) X-Frame-Options (XFO) X-XSS-Protection X-Content-Type-Options Va bene per non inserir...
posta 10.02.2014 - 21:43
2
risposte

Che cos'è HPKP e come funziona in caso di siti Web

Stavo guardando all'implementazione di HTTP Strict Transport Security (HSTS) in firefox. Firefox memorizza questi dati per i siti in un file chiamato SiteSecurityServiceState.txt Vedo voci in esso come - support.mozilla.org:HPKP 3...
posta 17.03.2017 - 13:29
1
risposta

HSTS rende sicuro l'utilizzo di un WiFi pubblico?

Quali possibili attacchi sono possibili se mi collego a una rete WiFi pubblica e utilizzo il mio computer solo per accedere a un sito visitato in precedenza che utilizza HSTS . Credo che attacchi come SSLstrip non siano possibili se il mio br...
posta 30.01.2016 - 02:58
1
risposta

L'impronta digitale certificato di Google non corrisponde alle impronte digitali nelle configurazioni "net-internals" di Chrome

Come forse saprai, puoi interrogare le serie di HSTS / PKP di Chrome per un dominio nella pagina chrome://net-internals come sotto: Comevedisopra,cisonoquattrovalorihashSHA256(nelmezzodellapaginaenelformatobase64)perwww.google.com.Sec...
posta 26.05.2018 - 05:46
1
risposta

Uno dei miei file aperti è diventato un elenco di URL e codici dopo aver fatto clic su un collegamento su un messaggio di posta elettronica di phishing?

Quindi ho ricevuto un'email non filtrata prima di oggi presumibilmente da Itunes sotto il mio indirizzo email con una fattura per l'abbonamento a Netflix. Alcuni link erano genuini, ma alla fine ho fatto clic su un link fasullo prima di fare cli...
posta 18.03.2016 - 22:53
1
risposta

Diversi certificati SSL / TLS per sottodomini

Ho attivato HSTS su diversi domini che io gestisco / gestisco, e sto usando certificati verificati gratuiti da un provider che consente solo la crittografia della radice e un sottodominio sul certificato. Permetteranno di generare più certificat...
posta 08.07.2015 - 16:23
1
risposta

Quali sono le colonne in SiteSecurityServiceState.txt di Firefox? [chiuso]

Il file SiteSecurityServiceState.txt di Firefox (situato nella cartella del profilo) registra i tempi HSTS e i tempi e i pin di scadenza HPKP. Ci sono più colonne e non so cosa rappresentino: Un esempio di voce HSTS: api.github.com:HSTS 74...
posta 13.10.2016 - 20:25
2
risposte

L'HSTS dovrebbe essere dichiarato su tutte le risorse o solo su file HTML?

Sono curioso di sapere se l' intestazione di risposta HSTS debba essere dichiarata su ogni risorsa di un sito sicuro sul sito, oppure solo sulle pagine HTML? Immagino che dovrebbe essere incluso in tutte le risorse, inclusi tutti i file JS, CSS...
posta 24.05.2016 - 18:36