11:59
31/8/2016

Czyli do czego zdolne jest HSTS super cookie.

In short, an attacker could set HSTS on or off for an arbitrary number of subdomains for a domain they own. Then, if they embed requests to these subdomains in a page and observe whether or not your browsers makes the requests using HTTP or HTTPS they can effectively fingerprint your browser.

Ciekawe jest zwłaszcza połączenie powyższego z dyrektywą CSP wymagającą ładowania obrazków po HTTP, co pozwoli na ustalenie na jakich stronach bywała ofiara. Konflikt pomiędzy HSTS a CSP i zbadanie czasu odpowiedzi pozwoli przewidzieć czy ktoś był na danej stronie wcześniej i otrzymał HSTS, czy go nie było.

Do powyższego dochodzi złośliwe dodawanie domen na HSTS Preload lists, lub ustawienie zbyt długiego czasu wygaśnięcia tokenu. Urocze są także terminy HPKP Suicide i HPKP Ransom.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

Rozpocznij dyskusję, bądź pierwszy... ;-)

Dodaj komentarz

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: