Preguntas con etiqueta 'hpkp'

1
respuesta

¿Se puede usar HPKP para rastrear a los usuarios?

Ya existe una gran variedad de "supercookies" y métodos de detección de huellas digitales en el navegador. Me pregunto si HPKP proporciona otro método para rastrear a los usuarios. Un servidor podría enviar una clave de copia de seguridad adi...
hecha 08.06.2016 - 12:56
1
respuesta

HPKP para certificados autofirmados

En enlace , y enlace en el primer cuadro amarillo, dice que Google Chrome y Firefox deshabilitan la validación de pin para los hosts (servidores) que usan un certificado autofirmado. El servidor al que me estoy conectando usa un certifi...
hecha 09.05.2017 - 14:53
2
respuestas

¿Cuáles son las desventajas de HPKP?

Me he dado cuenta de que muchos sitios web no implementan HPKP, aunque es fácil de implementar. ¿Hay algún inconveniente en ello?     
hecha 10.04.2017 - 08:04
2
respuestas

¿Qué es HPKP y cómo funciona en el caso de sitios web?

Estaba observando la implementación de Seguridad de transporte estricta de HTTP (HSTS) en Firefox. Firefox almacena estos datos para los sitios en un archivo llamado SiteSecurityServiceState.txt Veo entradas en ella como -    suppor...
hecha 17.03.2017 - 13:29
1
respuesta

¿HPKP no se vuelve inútil después de que haya expirado la edad máxima?

La idea básica detrás de HPKP era proteger a sus usuarios de los ataques MITM si una CA intermedia emite accidentalmente un certificado fraudulento para su dominio al atacante. Fija claves o hash en su certificado y establece una edad máxi...
hecha 17.11.2016 - 14:03
1
respuesta

¿Puede la fijación de certificados HPKP deshabilitar la inspección de DPI en el firewall?

Es posible que Firefox y Chrome deshabiliten la validación de pines para los usuarios que importaron certificados raíz personalizados. Todas las violaciones de puntas se ignoran. ¿Cuál es el impacto de eso? ¿El navegador informará alguna adverte...
hecha 28.09.2017 - 07:41
1
respuesta

¿Cuáles son las columnas en SiteSecurityServiceState.txt de Firefox? [cerrado]

El archivo SiteSecurityServiceState.txt de Firefox (ubicado en la carpeta del perfil) registra los tiempos HSTS y los pines y tiempos de caducidad de HPKP. Hay varias columnas, y no sé lo que representan: Un ejemplo de entrada HSTS: api.git...
hecha 13.10.2016 - 20:25
3
respuestas

¿Es posible la intercepción SSL sin deshabilitar la fijación de claves públicas en el lado del cliente?

Actualmente estoy configurando un firewall pfSense en mi laboratorio. Es compatible con SSL Inception, que funciona bastante bien para la mayoría de los sitios. Pero hay algunos sitios que usan HTTP Pinturas de Clave Pública para evitar ataqu...
hecha 05.07.2016 - 23:36
1
respuesta

¿Existe algún mecanismo para precargar la fijación de claves públicas HTTP?

Para HTTP Strict Transport Security ( HSTS ), hay una lista de precarga, que los propietarios del sitio pueden enviar a su sitio a una lista de nombres de dominio con los que los proveedores de navegadores envían sus navegadores....
hecha 24.11.2016 - 21:16
1
respuesta

¿Cuál es la diferencia entre la fijación de certificados y un almacén de confianza en Android / iOS? [duplicar]

Estoy enfrentando la implementación de la fijación de certificados y a menudo me preguntan por qué, si hay tiendas de confianza en Android, iOS no tiene ese concepto. Por lo tanto, debo crear el HPKP estándar y fijar dos claves públicas. He...
hecha 26.02.2018 - 23:36