早在 月份,我們就創建了一個新工具來改善Firefox 中 HSTS 和 HPKP 的使用體驗。現在是時候使用 Chrome 了。
它以人類可讀的方式顯示這些資訊
PinPatrol for Chrome 非常容易使用,它可以提供有關瀏覽器或任何其他瀏覽器儲存的 HSTS 和 HPKP 資料的有用資訊。將其移植到 Chrome 後,它不再只是一個 Chrome 擴展,而是一個簡單的取證工具,用於解釋來自任何 Chrome 用戶的 HPKP 和 HSTS 資料。
與 Firefox 一樣,Chrome 將 HPKP 和 HSTS 資訊儲存在明文文件中。但他們的策略卻截然不同。主要有:
Chrome 將資訊儲存在Json 檔案中
它不是以明文形式存儲,而是以標準格式對網域進 伊朗電子郵件地址 行哈希處理,因此用戶有一定的「隱私」。
它使用來自HPKP協議的report_uri(Firefox還沒有)。
域的雜湊方式已記錄在案
這裡有一個例子。這是原始 Json 的樣子:
Chrome 提供了一種整合方
式 (檢查某些 HSTS 和 HPKP 值,但它絕對不是監視網域的最佳方式。
Chrome 的工作方式還有一個不
同之處。 Chrome 不允許擴充功能存取您的個人資料文件,因此您必須 厄瓜多 電話 圖書館列表 自行拖放儲存資訊的文件(在 Windows 中為 。我們可以將此視為使用此擴充功能作為取證工具的優勢。
該工具嘗試的另一件有趣的事情是
“取消哈希”域。如果您的 HSTS 和 HPKP 域儲存庫 台灣數據 中有某個網域,則表示您已造訪該網域。所以它應該在您的歷史文件中。該工具嘗試獲取您訪問過的網域的歷史記錄並對它們進行雜湊處理。如果此雜湊值與 HSTS/HPKP 中的某些雜湊值匹配,則該工具會「翻譯」它,使其不被雜湊處理。
PinPatrol 取得造訪的歷史域
將其進行雜湊處理,並與 HSTS 和 HPKP 雜湊域進行比較
但是,為什麼有這麼多網域沒有經過哈希處理呢?一些原因:
您的歷史記錄已被刪除
網域不存在,但仍在 HSTS/HPKP 儲存庫中。
對某些具有 HSTS 和 HPKP 的網域的某些存取是在網頁的「後台」完成的,作為其 API、廣告系統等的一部分。
這是一個關於如何使用該工具的非常短的影片。