HPKP
HPKP (engl. HTTP Public Key Pinning) on internetin turvallisuutta parantava menetelmä, jossa HTTP ylätunnisteen (header) kautta verkkosivun ylläpitäjä antaa kopion julkisesta avaimestaan tai jopa koko varmenteen pitkäaikaiseen säilöön esimerkiksi käyttäjän selaimeen. Kun käyttäjä käy jälleen sivulla, vertailee hänen selaimensa sivun ylläpitäjän nyt antamaan avaimeen ja aiemmin antamaan avaimeen. Jos ne täsmäävät, käyttäjä jatkaa normaalisti sivun käyttöä. Jos avaimet eivät täsmää, voi kyseessä olla yritys suorittaa välistävetohyökkäys, jolloin käyttäjä saa asiasta varoituksen. HPKP suojaa siis välistävetohyökkäyksiltä.[1]
HPKP:n haittana voi olla mm. se, että jos HPKP:n vanhenemisen aika-asetus on liian pitkä ja sivun ylläpitäjän varmenne vanhenee tai sitä joudutaan muuttamaan yllättäen ennen HPKP vanhenemista, saavat sivua aiemmin käyttäneet varoituksen sivun turvattomuudesta ja saattavat lopettaa tai joutua lopettamaan sivun käytön. Tällöin sivun imago voi kärsiä ja sivun ylläpitäjä voi menettää rahaa asiakaskadon vuoksi. Termiä kutsutaan HPKP itsemurhaksi (eng. HPKP suicide).[2][3] HPKP voi myös heikentää käyttäjän yksityisyyttä, sillä lista tallennetuista sivuista säilyy selainohjelmassa, ja laajalle levittäytynyt internetpalvelu (kuten Google) voi käyttää tätä ominaisuutta seuraamaan käyttäjän toimia internetissä.[4] Lisäksi HPKP:tä voidaan käyttää väärin esimerkiksi jonkin verkkosivun ylätunnisteen hakkeroinnissa, jolloin hakkeri saa sivun hallintaansa ja voi kiristää sen ylläpitäjää ns. HPKP ransom -hyökkäyksessä.[2]
HPKP-säilö on usein mahdollista tyhjentää tai kytkeä HPKP ominaisuus pois päältä.
Kirjoitushetkellä vuonna 2018 HPKP-tuki löytyy Firefox-, Opera- ja Chrome-selaimista. Edge-[1] tai Safari-selaimissa tukea ei ole. Chrome-selaimessa tuki aiotaan lopettaa.[5]
Katso myös
[muokkaa | muokkaa wikitekstiä]Lähteet
[muokkaa | muokkaa wikitekstiä]- ↑ a b HTTP Public Key Pinning (HPKP) Mozilla Developer Network. Arkistoitu Viitattu 21.1.2018.
- ↑ a b Scott Helme: Using security features to do bad things scotthelme.co.uk. 15.8.2016. Arkistoitu Viitattu 21.1.2018.
- ↑ Be Afraid Of HTTP Public Key Pinning (HPKP) 26.10.2016. Smashing Magazine. Arkistoitu Viitattu 21.1.2018.
- ↑ Sleevi, Ryan, Evans, Chris, Palmer, Chris: Public Key Pinning Extension for HTTP tools.ietf.org. Arkistoitu Viitattu 21.1.2018.
- ↑ RIP HPKP: Google abandons public key pinning theregister.co.uk. Arkistoitu Viitattu 21.1.2018.