Navegadores y fijación de claves públicas HTTP

6

La fortaleza de la Fijación de Clave Pública HTTP (HPKP) es que los navegadores están guardando las claves del encabezado HTTP y pueden verificar en el futuro si el certificado del sitio web es válido.

Tengo dos preguntas sobre eso porque no pude encontrar una buena respuesta:

  • Supongamos que, el encabezado HTTP dice que el pin clave es válido por 60 días (edad máxima). ¿Dónde se guarda? Cuando borro el historial de mi navegador y la memoria caché todos los días, ¿HPKP no tiene sentido entonces?
  • Supongamos que estoy en un sitio web que admite HPKP y el encabezado HTTP dice que el pin de la clave es válido por 60 días. Ahora, cuando vuelvo a visitar el sitio web después de una semana y el encabezado HTTP sigue siendo el mismo, entonces es válido por 60 días una vez más, ¿verdad?
pregunta Aliquis 04.11.2015 - 19:31
fuente

1 respuesta

4
  

Supongamos que, el encabezado HTTP dice que el pin clave es válido por 60 días (edad máxima). ¿Dónde se guarda? Cuando borro el historial de mi navegador y la memoria caché todos los días, ¿HPKP no tiene sentido entonces?

Eso dependerá del navegador. Por lo general, hay varias "tiendas" que puede limpiar, pero debe comunicarse con el proveedor de su navegador para saber cómo hacer esto / solicitar una forma de limpiar el historial y las cookies, pero no los puntos clave.

(Tenga en cuenta que, dependiendo de su objetivo, puede quedar enano por la fijación. Si solo quiere evitar que la empresa le tome las huellas dactilares, los apuntes no deben ser un problema por ahora), pero si desea ocultar eso ha accedido a un sitio web, y posteriormente se encuentra un anclaje en su computadora ...)

  

Supongamos que estoy en un sitio web que admite HPKP y el encabezado HTTP dice que el pin de la clave es válido por 60 días. Ahora, cuando vuelvo a visitar el sitio web después de una semana y el encabezado HTTP sigue siendo el mismo, entonces es válido por 60 días una vez más, ¿no?

Eso es correcto.

¹ Es posible abusar de él para exponer los sitios visitados o incluso trabajar como un supercookie, sin embargo. Ver las diapositivas para el ataque Sniffly en enlace

    
respondido por el Ángel 04.11.2015 - 23:55
fuente

Lea otras preguntas en las etiquetas