Перейти к содержанию

Recommended Posts

EvgenijB

Всем привет народ.

 

Возникла проблема, стал разбираться с http заголовками, чтоб сделать сайт безопаснее и наткнулся на один интересный заголовок: 

Public-Key-Pins – привязывание публичных ключей через http заголовок, который заставляет браузеры затребовать сертификат из белого списка для всех последующих соединений с конкретным веб-сайтом. Предотвращение MITM атаки.

Public-Key-Pins: “pin-sha256="XXX"; pin-sha256="YYY"; max-age=123 includeSubDomains"

XXXSHA256 – хеш, YYY-резервная копия того же самого ключа , ZZZ – время жизни для белого списка.

 

вот хочу его внедрить.

Первый pin-sha256 - это отпечаток публичного сертификата- это понятно, а вот дальше уже не понятно.

Зачем нужен второй ключ pin-sha256? Как я предполагаю - это резервный ключ, который представляет отпечаток какого то другого сертификата - это верно? И обязателен ли он? Посмотрел на других сайтах, везде присутствуют отпечаток и пин, как сформировали пин?

github.com 
Fingerprint SHA1: d79f076110b39293e349ac89845b0380c19e2f8b
Pin SHA256: pL1+qb9HTMRZJmuC/bB/ZI9d302BYrrqiVuRyW+DGrU=

 

И последний вопрос, какое время жизни заголовка лучше поставить? Чтоб отпала возможность митм атаки из-за маленького времени жизни и не получилось так, что сертификат, на котором сделан отпечаток закончился, а у пользователей храниться еще месяц или более?

Отредактировал EvgenijB

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот хорошая статья по сабжу http://www.securitylab.ru/analytics/479602.php

 

И вот источник на английском https://developer.mozilla.org/en-US/docs/Web/Security/Public_Key_Pinning

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Quinsy
      Многие из нас отказались от работы в офисах в пользу надомной работы. Для этого достаточно иметь ноутбук или компьютер с интернетом, ну и саму работу. Сиди работай, пей чай, общайся с заказчиком. Единственный минус такой работы в том, что техника не вечна. У  меня вот был срочный заказ и бабац, ноутбук вырубился и не хотел никак включаться. Аврал. Во внутренностях ноутбука я вообще не разбираюсь, проект надо было сдавать, а что делать. Хорошо, что нашёл компьютерную мастерскую http://zelcompmaster.ru/ , где согласились в срочном порядке посмотреть и починить, если это возможно. Посмотрели, сказали, что там процессор накрылся. В наличии у них такой был, как для моего ноутбука. В течении часа заменили. И я смог доработать. Спасибо, очень выручили. 
    • ElenaPrekrasna9i
      Была бы у меня возможность, купила бы себе пианино и только акустическое) Все же это музыкальный инструмент http://www.gorodnabire.ru/publikatsii/kak-poyavilos-pianino-razbiraemsya-vmeste с многолетней историей. Да и выглядит оно более солидно и отлично впишется в интерьер, если у вас большая, просторная комната. Цифровые конечно же привлекают своей компактностью и куда более приятным ценником. Но бу я бы даже не рассматривала, разве что у знакомых.
    • Vitalinka
      Честно говоря, не стоит связываться с б/у, какого бы класса оно не было. Оно всеровно уже вышло из строя или будет постоянно глючить. 
    • Bases
      Все для Вас!) Добавлена возможность подготовки по вашим критериям!
    • AnitaValdi
      Покупка дорогостоящая и хочется здесь не продать) Думаю взять новое с простых или же бу, но классом по выше. Само собой рассматриваю только цифровое
×