npm package discovery and stats viewer.

Discover Tips

  • General search

    [free text search, go nuts!]

  • Package details

    pkg:[package-name]

  • User packages

    @[username]

Sponsor

Optimize Toolset

I’ve always been into building performant and accessible sites, but lately I’ve been taking it extremely seriously. So much so that I’ve been building a tool to help me optimize and monitor the sites that I build to make sure that I’m making an attempt to offer the best experience to those who visit them. If you’re into performant, accessible and SEO friendly sites, you might like it too! You can check it out at Optimize Toolset.

About

Hi, 👋, I’m Ryan Hefner  and I built this site for me, and you! The goal of this site was to provide an easy way for me to check the stats on my npm packages, both for prioritizing issues and updates, and to give me a little kick in the pants to keep up on stuff.

As I was building it, I realized that I was actually using the tool to build the tool, and figured I might as well put this out there and hopefully others will find it to be a fast and useful way to search and browse npm packages as I have.

If you’re interested in other things I’m working on, follow me on Twitter or check out the open source projects I’ve been publishing on GitHub.

I am also working on a Twitter bot for this site to tweet the most popular, newest, random packages from npm. Please follow that account now and it will start sending out packages soon–ish.

Open Software & Tools

This site wouldn’t be possible without the immense generosity and tireless efforts from the people who make contributions to the world and share their work via open source initiatives. Thank you 🙏

© 2024 – Pkg Stats / Ryan Hefner

sslsert

v1.0.0

Published

https://inuchat.net/es/192-168-1-254/

Downloads

2

Readme

sslsert

Las políticas de SSL convergen en localhost con la adecuada configuración

Encuestas SSL

Se realizaron varias encuestas para examinar las conexiones SSL que brindaron información sobre el estado de SSL/TLS en la naturaleza. En 2012, había un subprograma Shockwave (SWF) del lado del cliente desarrollado por [3] y alojado en Facebook que intentaba detectar un certificado falsificado. El applet imitó el protocolo de enlace SSL del navegador al abrir una conexión de socket al sitio de Facebook. El applet registra el protocolo de enlace SSL e informa la cadena de certificados observada a los servidores de registro.

Entre noviembre de 2009 y abril de 2011, se realizó un análisis de la PKI x.509 utilizando la metodología de mediciones activas y pasivas. El escaneo activo en la lista de Alexa Top 1 Million Hosts usaba nmap y OpenSSL para sondear la cadena de certificados completa y las propiedades de conexión TLS/SSL. El escaneo pasivo usó procesamiento de dos pasos utilizando Bro como herramienta de procesamiento TLS/SSL de forma independiente del puerto. Los resultados de las encuestas SSL/TLS anteriores para las condiciones anormales de un certificado se pueden resumir a continuación. Estos resultados se utilizarán como guía para redactar las reglas de la política.

• El tamaño de los certificados es pequeño, inferior a un kilobyte. • Las cadenas de certificados tienen una profundidad de uno sin certificados intermedios. Si hay más de una cadena, generalmente es una cadena rota, no se emite un certificado de CA raíz, el certificado en la cadena ha caducado o no se pueden verificar sus firmas en la cadena. • Sujetos de certificados con organización de emisor vacía y uso de dominios no relacionados, como direcciones IP en 192.168.l.254, el dominio comodín*. El valor puede pertenecer al nombre del dispositivo, software proxy, antivirus, cortafuegos, software de control parental, adware y malware. Puede tener un valor fraudulento como "Facebook" o un nombre común predeterminado como 'plesk', 'localhost', 'localhost.localdomain' para un certificado autofirmado usando la biblioteca OpenSSL.

Método no intrusivo propuesto para proxy SSL/TLS

Esta investigación se centrará en contratar un proxy de reenvío no intrusivo con funciones de seguridad adaptables para conexiones SSL/TLS. La metodología utilizada no requiere que los clientes instalen un archivo ejecutable binario o una extensión de navegador personalizada para examinar las conexiones y los certificados SSL. El único requisito por parte del usuario es establecer la configuración del proxy para que apunte al proxy. Es escalable a un gran número de usuarios normales con pocos conocimientos técnicos.

Política de seguridad SSL/TLS

La política de seguridad es la base del componente de análisis y se crea bajo las características de atributos SSL/TLS para pruebas estáticas y dinámicas. Los atributos estáticos consisten en la lista de versiones para SSL/TLS, conjuntos de cifrado, certificados raíz, intercambios de claves, cifrados y hashes. Estos atributos se almacenan en una base de datos para el componente de análisis. 192.168.o.1

Atributos estáticos

Conjuntos de cifrado

Se requiere una colección de conjuntos de cifrado para diagnosticar el conjunto de cifrado admitido en un host remoto mediante SSL/TLS. Hay 357 conjuntos de cifrado que se han recopilado hasta ahora para SSL v2.0 hasta TLS v1.2 de RFC y documentación de OpenSSL. Estos conjuntos de cifrado se clasifican según su versión SSL/TLS (SSL v2.0, TLS v1.0, etc.), intercambios de claves, algoritmos de cifrado y algoritmos de firma, así como sus nombres equivalentes en OpenSSL.

Por ejemplo, el conjunto de cifrado TLS_RSA_WITH_RC4_128_MD5 también se conoce como RC4-MD5 en OpenSSL. Sin embargo, no todos los conjuntos de cifrado tienen equivalencias OpenSSL. También se captura más información, como la codificación de 2 bytes. Ejemplo para SSL, el primer byte es 0x00 y el segundo byte es la representación hexadecimal del número del conjunto de cifrado