Pin Patrol (Chrome)


28/10/16. Versión 0.1


Pin Patrol

Se trata de una extensión para mejorar la experiencia de uso de HSTS y HPKP en Chrome. Muestra esta información de forma mucho más sencilla de entender. Es muy sencilla de usar y proporciona información muy útil acerca de los datos de HSTS y HPKP en el navegador… o en cualquier otro. Al llevarlo a Chrome, se ha convertido no solo en una simple extensión de Chrome, sino en una pequeña herramienta de forense para interpretar los datos HPKP y HSTS de cualquier usuario de Chrome.

Pin Patrol

Chrome calcula un hash de los dominios con un formato estándar, para ofrecer cierta “privacidad” a los usuarios. Si un dominio se encuentra en el repositorio de HSTS y HPKP, significa que se ha visitado. Así que debería estar en el historial del navegador. Lo que la herramienta hace es tomar los dominios del histórico visitados y calcular su hash. Si ese hash coincide con alguno de los hashes en la lista de HSTS y HPKP, se “traduce” para que quede “deshasehado”. Algunas razones por las que un dominio podría quedar sin “traducir”:

  • El historial ha sido borrado y los dominios ya no están allí, pero sí en el repositorio HSTS/HPKP.
  • Algunas visitas a algunos dominios con HSTS y HPKP se pueden realizar en bambalinas de una web como parte de sus APIs, sistema de anuncios y no quedar almacenadas en el historial.

La información proporcionada por la herramienta es la que se almacena en el navegador pero traducida a una fórmula mucho más sencilla.

  • Domain: Dominio protegido bajo HSTS o HPKP.
  • Date: El ultimo día que fue visitado un dominio.
  • Expiration Time: Se trata del max-age de HSTS o HPKP, en otras palabras, cuándo caducará la entrada.
  • Mode: Básicamente, force-https.
  • IncludeSubdomains: Indica si HSTS o HPKP incluye la directiva de subdominios y todos quedan protegidos.
  • HPKP Pins: Lista de pines en la cabecera HPKP.
  • Report-uri: Si el dominio usa la directiva report-uri para informar de “anomalías”.