O korzyściach, ale także o ryzykach stosowania HTTP Public Key Pinning (HPKP) wspominałem już na Kryptosferze. Dzisiaj krótka historia o tym jak nieumiejętna konfiguracja HPKP mogła spowodować zablokowanie dostępu do aplikacji mobilnej jednego z największych banków w Wielkiej Brytanii.
Czy HTTP Public Key Pinning jest martwy?
Stron WWW z wdrożonym mechanizmem HTTP Public Key Pinning jest ciągle jak na lekarstwo. Trudności w poprawnej implementacji, ryzyko zablokowania dostępu do strony i spore możliwości nadużyć. To między innymi te kwestie skłoniły Ivana Ristica do zadania pytania: czy HPKP jest martwy? Próbę znalezienia odpowiedzi znajdziecie w tym wpisie.
Wykorzystywanie HSTS i HPKP do niecnych celów
Opisy ciekawych możliwości wykorzystywania mechanizmów bezpieczeństwa do niegodziwych czynów. Artykuł bez wątpienia warto przeczytać, ale na pewno nie warto rezygnować z wdrażania HSTS (HTTP Strict Transport Security) i HPKP (HTTP Public Key Pinning). Przewaga korzyści, które oferują, jest niepodważalna.
HTTP Public Key Pinning
Public Key Pinning realizowany poprzez nagłówek protokołu HTTP pozwala na poinformowanie klienta (przeglądarki) o powiązaniu danego klucza publicznego z konkretnym serwerem (domeną). Z tego wpisu dowiecie się jak został zaprojektowany, jak działa, jakie przynosi korzyści i w jaki sposób można wdrożyć Public Key Pinning.