Google declara obsoleto HTTP Public Key Pinning (HPKP)

Iniciado por wolfbcn, 4 Noviembre 2017, 01:56 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

wolfbcn

4 Noviembre 2017, 01:56 AM
La misma Google acaba con este estándar que anunció hace 3 años para prevenir los ataques "Man in the Middle" usando CAs vulnerados.

Hace 3 años se anunciaba con el rfc7469 esta medida de seguridad adicional, creada por la misma Google e implementado en sus servidores y el navegador Chrome con su versión 46, que previene de un posible 'ataque MitM de sustitución' haciendo uso de una CA vulnerada en la que confía el cliente.

La medida ha sido anunciada por Chris Palmer, que trabaja en la seguridad de Google Chrome, el pasado 27 de octubre. Entre las razones que exime para declararlo obsoleto se encuentra el alto riesgo de dejar un sitio inutilizable.

HTTP Public Key Pinning (HPKP) es una cabecera adicional enviada por el servidor que contiene la declaración de las claves públicas válidas para el sitio web durante un periodo de tiempo. En caso de cambiar la clave pública utilizada, como cuando se cifra la conexión con el certificado de otra CA, el cliente corta la conexión evitando así un posible ataque MitM. El problema de esta medida es que no se diferencia entre un cambio de clave pública fidedigno y un ataque real, pudiendo dejar el sitio inaccesible.

LEER MAS: http://unaaldia.hispasec.com/2017/11/google-declara-obsoleto-http-public-key.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario