Pin Patrol para Chrome

Se trata de una extensión para mejorar la experiencia de uso de HSTS y HPKP en Chrome. Muestra esta información de forma mucho más sencilla de entender. Es muy sencilla de usar y proporciona información muy útil acerca de los datos de HSTS y HPKP en el navegador… o en cualquier otro. Al llevarlo a Chrome, se ha convertido no solo en una simple extensión de Chrome, sino en una pequeña herramienta forense para interpretar los datos HPKP y HSTS de cualquier usuario de Chrome.

Chrome calcula un hash de los dominios con un formato estándar, para ofrecer cierta “privacidad” a los usuarios. Si un dominio se encuentra en el repositorio de HSTS y HPKP, significa que se ha visitado. Así que debería estar en el historial del navegador. Lo que la herramienta hace es tomar los dominios del histórico visitados y calcular su hash. Si ese hash coincide con alguno de los hashes en la lista de HSTS y HPKP, se “traduce” para que quede “deshasehado”. Algunas razones por las que un dominio podría quedar sin “traducir”:

- El historial ha sido borrado y los dominios ya no están allí, pero sí en el repositorio HSTS/HPKP.
- Algunas visitas a algunos dominios con HSTS y HPKP se pueden realizar en bambalinas de una web como parte de sus APIs, sistema de anuncios y no quedar almacenadas en el historial.

La información proporcionada por la herramienta es la que se almacena en el navegador pero traducida a una fórmula mucho más sencilla.

- Domain: dominio protegido bajo HSTS o HPKP.
- Date: el ultimo día que fue visitado un dominio.
- Expiration Time: se trata del max-age de HSTS o HPKP, en otras palabras, cuándo caducará la entrada.
- Mode: básicamente, force-https.
- IncludeSubdomains: indica si HSTS o HPKP incluye la directiva de subdominios y todos quedan protegidos.
- HPKP Pins: lista de pines en la cabecera HPKP.
- Report-uri: si el dominio usa la directiva report-uri para informar de “anomalías”.