HPKP er úreltur veföryggissvarshaus, skammstöfunin stendur fyrir HTTP Public Key Pins. Það var ætlað að koma í veg fyrir að málamiðlun eða fantur vottorðsyfirvald gæti gefið út opinberlega treyst, en tölvuþrjóta-stýrt, HTTPS vottorð fyrir vefsíðu. Í þessari atburðarás myndu tölvuþrjótarnir geta afkóðað alla hleraða HTTPS umferð á viðkomandi vefsíðu.
Ábending: Svarhausar á vefnum eru lýsigögn sem þjónninn lætur fylgja með þegar hann svarar beiðnum. Lítið undirmengi þessara er nefnt öryggishausar, þar sem þeir virkja og stilla ýmsa öryggiseiginleika.
Innviði vottorðsins sem HTTPS er byggt á er byggt á trúnaðarvef. Fjöldi fyrirtækja starfa sem vottunaryfirvöld (CA) sem gefa út eitt eða fleiri rótarvottorð. Sett af rótarvottorðum er innifalið í öllum tækjum í traustri verslun. Þegar vefsíða biður um sitt eigið HTTPS vottorð frá CA er vottorðið undirritað með rótarvottorði. Þegar tölvan þín sér HTTPS vottorð athugar hún undirskriftina. Ef vottorðið er undirritað af rótarvottorði sem það treystir, þá treystir tölvan þín einnig HTTPS vottorðinu.
Ábending: CA getur líka haft millivottorð undirrituð af rótarvottorðinu. Þessi millivottorð er einnig hægt að nota til að undirrita HTTPS vottorð fyrir vefsíður.
Starf vottorðsyfirvalda er að gefa aðeins út vottorð þegar þeir hafa sannreynt að sá sem biður um það sé raunverulegur eigandi vefsíðunnar. Hugmyndin með þessari uppbyggingu er sú að ef tölvuþrjótur býr til sitt eigið vottorð fyrir vefsíðu, þá verður það ekki undirritað af CA sem tölvan þín treystir og því munt þú sjá viðvörun.
Allt vottorðakerfið byggir á áreiðanleika vottorðsyfirvalda. Upprunalega var hins vegar engin vörn gegn því að CA væri í hættu af tölvuþrjótum eða að hann yrði fantur og valdi að gefa ranglega út vottorð.
HPKP var hannað til að vera vörn gegn þessum möguleika. Það gerir vefsíðum kleift að tilgreina einkalista yfir vottorð sem hægt er að treysta fyrir vefsíðuna í ferli sem kallast pinning. Það var hægt að festa rótar- eða millivottorðið, sem gerði það í rauninni kleift að einu CA gæti gefið út vottorð fyrir vefsíðuna. Það var líka hægt að festa skírteini vefsíðunnar sjálfrar og koma í veg fyrir að jafnvel réttur CA gæti gefið út annað gilt vottorð.
Tæknilega séð er það ekki vottorðið sjálft sem er fest, heldur kjötkássa af lykli vottorðsins. Hash er einhliða dulmálsaðgerð. Þetta þýðir að hægt er að staðfesta að vottorðið sem vefsíðan sýnir vafranum passi við fest vottorð, en það er ekki hægt að nota kjötkássa til að búa til gilt vottorð.
HPKP krafðist þess að minnst tveir lyklar væru festir, að minnsta kosti einn þeirra verður að vera öryggisafrit en ekki í núverandi vottorðakeðju. Þessi öryggisafrit gerir þér kleift að stilla slétta afhendingu á nýtt vottorð sem kemur ekki í veg fyrir að notendur geti tengst.
Ef HTTPS vottorðið sem vefsíðan sýnir vafranum passar ekki við eitt af festu vottorðunum, þá þarf vafrinn að hafna því og koma í veg fyrir að notandinn fari framhjá villuskilaboðum vottorðsins.
HPKP hausinn hefur þrjá lögboðna hluta og tvo valfrjálsa. Hausinn verður að heita "Public-Key-Pins", næstu tvö eða fleiri vottorð þurfa að vera með base64 kóðað SHA256 kjötkássa festa á sniðinu 'pin-sha256=""". Síðasti skylduhlutinn er „hámarksaldur“, sem er talning í sekúndum fyrir hversu lengi vafrinn ætti að beita takmörkunum fyrir.
Ábending: SHA256 er hashing algrímið sem HPKP notar. Base64 er stafasett með 64 stöfum: 0-9, az, AZ og sértáknunum „+“ og „/“. „=“ er notað til að fylla út allt að síðustu tvo stafina ef þörf krefur.
Valfrjálsu stillingarnar eru „includeSubDomains“ og „report-uri“. „includeSubDomains segir vafranum að beita HPKP vörnum á hvaða undirlén sem er á núverandi vefsíðu á meðan „hámarksaldur“ tímamælirinn stendur. „report-uri“ er eiginleiki sem gerir kleift að tilgreina vefsíðu þar sem hægt er að senda villutilkynningar og er hannaður til að hjálpa til við að bera kennsl á og leysa vandamál.
Það er annað afbrigði af hausnum sem heitir „Public-Key-Pins-Report-Only“. Allt er hins vegar eins, ef villa finnst, er ekki gripið til aðgerða en að skila villuskilaboðum í vafrann og í „report-uri“ ef hann er stilltur. Eingöngu skýrsluafbrigðið var hannað til að gera prófun á hausnum í fullum mæli fyrir uppsetningu, þar sem villur myndu ekki valda notendum vandamálum.
HPKP var afskrifað af tveimur meginástæðum. Það voru tvær leiðir þar sem hausinn gæti valdið alvarlegum vandamálum fyrir vefsíðuna sem notar hann, þær hétu HPKP Sjálfsvíg og Ransom PKP.
HPKP sjálfsvíg er mál þar sem lögmætir eigendur vefsíðunnar missa aðgang að öllum festum lyklum. Þetta gæti gerst með eyðingu fyrir slysni, reiðhestur, vírusa, gagnaspillingu eða af mörgum öðrum ástæðum. Vegna þess hve flókið er að innleiða HPKP á réttan hátt, og sérstaklega að halda því uppfærðu á meðan skírteini er snúið, er tiltölulega auðvelt að gera stillingarvillu. Hins vegar með HPKP, ef þú hefur rangt fyrir þér, verður komið í veg fyrir að allir nýlegir gestir á vefsíðuna þína geti fengið aðgang að vefsíðunni þinni á meðan „hámarksaldur“ tímamælirinn er. Vefsíðan smashingmagazine.com birti grein þar sem greint var frá reynslu sinni af nákvæmlega þessu vandamáli, sem í raun tók síðuna án nettengingar fyrir flesta gesti í fjóra daga áður en lagfæring var sett á laggirnar.
Ransom PKP er fræðileg árás þar sem tölvuþrjótur fær aðgang að vefþjóni, stelur síðan öllum traustum skilríkjum og lyklum og krefst síðan lausnargjalds fyrir að skila þeim. Í venjulegri uppsetningu gætirðu bara búið til nýja lykla og skilríki og fengið vefsíðuna aftur í notkun á innan við klukkustund. Með HPKP virkt, hins vegar, eru þessir lyklar festir, ef þú getur ekki framvísað festu vottorði fyrir notendur, munu þeir ekki geta fengið aðgang að vefsíðunni á meðan „hámarksaldur“ tímamælirinn stendur. Það fer eftir uppsetningunni og ef öryggisafrit eru til, gæti verið ómögulegt að leysa þetta mál.
Með báðum þessum málum myndu nýir notendur geta fengið aðgang að vefsíðunni eins og venjulega, þar sem þeir hefðu aldrei séð gamla HPKP hausinn gefa fyrirmæli um að vafranum sínum treysti aðeins þeim vottorðum sem nú vantar. Allir nýlegir gestir, eins og fastir viðskiptavinir og lesendur, þyrftu hins vegar að bíða í allan tíma „hámarksaldur“ tímamælisins.
Í ljósi alvarleika þessara mála og flókinnar stillingar og viðhalds var notkun HPKP haussins mjög lítil. Að lokum samþykktu helstu vafrar að hætta stuðningi við það algjörlega og innan nokkurra ára var HPKP hausinn almennt úreltur.
Chrome, sjálfgefið, sýnir þér ekki alla vefslóðina. Þér er kannski sama um þessi smáatriði, en ef þú þarft af einhverjum ástæðum að birta alla vefslóðina, nákvæmar leiðbeiningar um hvernig á að láta Google Chrome birta alla vefslóðina á veffangastikunni.
Reddit breytti hönnun sinni enn og aftur í janúar 2024. Endurhönnunin er hægt að sjá af notendum skjáborðsvafra og þrengir að aðalstraumnum á sama tíma og tenglar eru til staðar.
Að slá uppáhalds tilvitnunina þína úr bókinni þinni á Facebook er tímafrekt og fullt af villum. Lærðu hvernig á að nota Google Lens til að afrita texta úr bókum yfir í tækin þín.
Áminningar hafa alltaf verið aðal hápunktur Google Home. Þeir gera líf okkar örugglega auðveldara. Við skulum fara í stutta skoðunarferð um hvernig á að búa til áminningar á Google Home svo að þú missir aldrei af því að sinna mikilvægum erindum.
Stundum, þegar þú ert að vinna í Chrome, geturðu ekki fengið aðgang að ákveðnum vefsíðum og færð upp villuna „Laga DNS vistfang netþjóns fannst ekki í Chrome“. Hér er hvernig þú getur leyst málið.
Hvernig á að breyta lykilorðinu þínu á Netflix streymisvídeóþjónustunni með því að nota valinn vafra eða Android app.
Ef þú vilt losna við endurheimta síður skilaboðin á Microsoft Edge skaltu einfaldlega loka vafranum eða ýta á Escape takkann.
Djúptenging er vinsæl tilvísunartækni notenda. Lærðu um djúptengingar hér til að nota þær til að auka umferð á vefsíðuna þína eða app.
AR er næsta stóra hlutur internetsins fyrir skemmtun, vinnu eða viðskipti. Lærðu AR ský í smáatriðum til að verða upplýstur notandi.
Notaðu Microsoft Edge Drop og deildu skrám og skilaboðum auðveldlega á milli tækja með því að fylgja þessum byrjendavænu skrefum.
