Bir web sitesinin HSTS

Question

'u kullanıp kullanmadığını nasıl bulabilirim? Web sitelerinin Strict-Transport-Security kullanıp kullanmadıklarını kesinleştirmek için yeni bir yöntem arıyorum.

Tavsiyem yok. Ben Chrome's preloaded list karşı kontrol etmek ve sıkı-Ulaşım-Güvenlik başlıklarını kontrol etmek için

curl -D - https://www.example.com | head -n 20 

çalıştırmak için söylendi.

Ancak 'baş' komutu bir hata oluşturdu ve bilinmiyordu.

Herhangi bir fikrin var mı?

ATM Win XP çalıştırıyorum, birkaç gün içinde bir linux dağıtımım olacak.

Teşekkürler.

Answer 1

Bu yöntem iyi. Fark ettiğiniz gibi

$ curl -s -D- https://paypal.com/ | grep Strict 
Strict-Transport-Security: max-age=14400 

, bazı web sunucuları sadece HEAD isteklerini yerine reddediyorum. curl-v ile GET istek için başlıklarını yazdırır:

$ curl -s -vv https://paypal.com/ 2>&1 | grep Strict 
< Strict-Transport-Security: max-age=14400 

< başlık size sunucusu tarafından döndürülen biridir gelir.

$ curl -D- https://www.example.com 
curl: (7) couldn't connect to host 

o https:// üzerinden teslim takdirde Strict-Transport-Security başlık sadece onur gibi, çok: bu hiç https:// dinlemez olarak

Gerçek example.com, sizin örnekte olduğu gibi çalışmaz https://'da yanıt vermeyen herhangi bir sitenin STS kullanmıyor olduğunu, özellikle de bunu yapmak için hiçbir nedeninin olmayacağını varsaymak güvenlidir.

Answer 2

Chrome, HSTS denetimi özelliği chrome://net-internals#hsts

Ama Chrome ayrıca https üzerinden bir site talep olduğunda eklenen girdileri sever unutmayın vardır.

Sadece bir https sertifikası bulunmayan bir iç site için chrome beni https'ye yönlendirmişti. 443'te bile dinlemiyorum. Şaşırtıcı olmayan bir kıvrılma, Katı bir başlık döndürmedi. Daha sonra kromun bir dahili HSTS listesi olduğunu buldum. Küresel Google bakım listesi hariç olmak üzere chrome: // net-internals # hsts adresinden temizlenebilir.