Zero
Video: Cromo sostiene la maggioranza del mercato dei browser desktop
Google ha annunciato piani per deprecare Chrome il supporto per HTTP chiave pubblica pinning (HPKP), uno standard IETF che i tecnici di Google ha scritto per migliorare la sicurezza del web, ma ora dannosi.
HPKP, come descritto in IETF 7469, è stato progettato per ridurre il rischio di un compromesso Autorità di certificazione misissuing certificati digitali per un sito, permettendo a un utente malintenzionato di eseguire un man-in-the-middle attack su crittografia TLS (Transport Layer Security) e le connessioni.
Utilizzando HPKP, qualsiasi sito web può raccontare browser di ricordare, o ‘pin’, che pubblica le chiavi di appartenere a un determinato server web per un determinato periodo di tempo. Dopo di che, il browser ignora tutte le altre chiavi pubbliche per la durata impostata.
Attualmente Chrome, Firefox e Opera sono l’unico browser che supportano HPKP, ma Chrome di Google security team hanno annunciato l’intenzione di rimuovere il supporto per HPKP in Chrome 67, che è dovuto per il rilascio della versione stabile di circa 29 Maggio 2018.
I ricercatori di sicurezza hanno messo in evidenza una serie di problemi con HPKP, tra cui la possibilità per un utente malintenzionato di installare dannoso perni o per un operatore di sito accidentalmente blocco di visitatori.
Come da norma, la prima volta che un browser si connette a un sito che il server si racconta, utilizzando un HPKP intestazione, che le chiavi pubbliche appartengono. Dopo di che, il browser di accettare solo i certificati che sono stati firmati con le chiavi in intestazione.
Il ricercatore di sicurezza Scott Helme recentemente sottolineato che un utente malintenzionato che ha compromesso un web server può inviare un sito dannose HPKP intestazioni. Mentre il gestore del sito potrebbe riprendere il controllo del sito, il browser non essere in grado di connettersi ad esso a causa di un utente malintenzionato HPKP politica.
Questo scenario è successo a Smashing Magazine, quando è stato l’aggiornamento in scadenza certificato SSL. È abilitato HPKP e impostare i criteri per 365 giorni. Dopo l’implementazione di nuovi certificati validi, tutti i browser con il vecchio HPKP politica non potrebbe visitare il sito. Inoltre, il nuovo HPKP politica non ha fatto nulla per aggiornare il vecchio.
Ryan Sleevi, uno dei Chrome membri chi ha scritto la norma, ha descritto appuntare come “terribile”, ammettendo che non danneggia l’ecosistema più di quanto non lo aiuta.
Google apposito avviso riconosce Helme di studio nel mese di agosto 2016, che ha trovato solo 375 siti utilizzando HPKP.
Qualys web esperto di sicurezza Ivan Ristic scorso anno, ha detto HPKP è stata condannata perché richiedeva troppo sforzo per gli operatori del sito per mantenere correttamente e potrebbe essere usato come “arma potente” contro tutti gli altri siti.
Invece di appuntare, il team di Chrome ora stanno incoraggiando gli sviluppatori a utilizzare il Certificato di Trasparenza e relativamente nuovo, Aspetta-CT intestazione.
“Per difendere contro certificato misissuance, gli sviluppatori web devono utilizzare l’Aspetta-CT intestazione, compresa la sua funzione di reporting,” si nota.
“Ci aspettiamo-CT è più sicuro di HPKP a causa della flessibilità che dà gli operatori del sito per il recupero da eventuali errori di configurazione, e grazie al supporto integrato offerto da un certo numero di CAs.”
Chrome smetterà di sostenere HPKP in Chrome 67, dovuto per il rilascio della versione stabile di fine Maggio del 2018.
Immagine: Google
Precedente e relativa copertura
Google: Questa impennata di Chrome, il traffico HTTPS mostra come molto più sicuro ora sono online
Google HTTPS-everywhere push è mostrando risultati nel caricamento della pagina su Chrome.
SI guida a ridurre insider minacce alla sicurezza [Tech Pro Ricerca]
Le minacce interne che possono comportare rischi ancora maggiori ai dati aziendali da quelli associati con gli attacchi esterni.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0