Die meisten großen Services sind mittlerweile auch über Port 443 (HTTPS) erreichbar, nicht alle nutzen jedoch diese Verschlüsselte Verbindung von sich aus. Die Gründe sind vielfältig, doch als Endnutzer sollte man bestrebt sein HTTPS zu nutzen wo es möglich ist. Dies hat zum einen den Vorteil das die eigene Privatsphäre geschützt ist, da die Inhalte der Seiten nicht von dritten unterwegs mitgelesen werden können. Zum anderen gibt es durch neue Mechanismen wie HPKP im Browser die Möglichkeit die Manipulierbarkeit durch Schadsoftware auszuschließen.

 

HSTS - HPKP

HSTS = Http Strict Transport Security, ist eine durch den Browser berücksichtigte Erweiterung des HTTP Headers. Die Webseite teilt beim ersten Besuch via HTTPS dem  Browser mit das er künftig die Seite nur noch per HTTPS verschlüsselt besuchen soll. Gibt der User nun http://domain.de ein so wird er automatisch auf https://domain.de umgeleitet. Bei HSTS findet nur eine einfache Weiterleitung statt, eine vorherige gesonderte Validierung der "gemerkten" SSL Einstellung bzw. derer Zertifikate erfolgt nicht.

HPKP = Http Public Key Pinning, die Funktionsweise hier ist erweitert. Der Browser "speichert" zusätzlich den "Fingerabdruck" des verwendeten SSL Zertifikats. Weicht dieser später bei der Auslieferung von der im HTTP Header angegeben ab so wird eine deutliche Warnung ausgegeben oder die Verbindung gar unterbunden. Dies kann SSL Man in the Middle Attacken verhindern wie sie z.B. neulich durch ausgetauschte Zertifikate in diversen Virenscannern / Internet Security Software Paketen auftrat. Einfach bildlich gesprochen ist dies am besten zu vergleichen mit einem Verplombten Paket was ganz sicher nicht durch dritte auf dem Transportweg geöffnet wurde.
 

HTTP Offen und anfällt

Genau dieses "öffnen" der "Pakete" auf dem Transportweg ist ein Problem. Nicht nur das jeder auf dem Weg eurer Datenpaket lesen kann, man kann diese Methode auch verwenden um durch Schadsoftware oder sogar durch Externe Angriffe Inhalte zu verändern oder einzuschleusen. Dies muss nicht immer mit dem Hintergrund geschehen bei euch "einzubrechen" gerade der Bereich "Ad Injects" ist aktuell ein großes Thema. So kam es vor das Provider einfach Anzeigen oder Affiliate Cookies untergejubelt haben ohne das diese auf den eigentlich besuchten Inhalten vorhanden waren.

In einigen Ländern ist es gang und gebe das HTTP Pakete inspiziert werden und "verdächtige" Inhalte protokolliert werden.
 

HTTPS-EVERYWHERE

Ich schreibe schon wieder viel zu viel; Eigentlicher Hinweis dient dem Plugin HTTPS-Everywhere welches bereits seit langem von der Electonic Frontier Foundation als Open-Source Projekt gepflegt wird. Dieses Addon gibt es für die gängigsten Browser und ich kann es nur jedem empfehlen. Das Addon führt im Hintergrund eine eigene Unabhängige Datenbank von Verhaltensregeln für Webseiten. Ist bekannt das eine Webseite SSL vernünftig implementiert hat so sorgt das Plugin dafür das diese Seite künftig nur noch über SSL aufgerufen werden kann. Dies verhindert gleich einen ganzen Schwung von bekannten Sicherheitsproblemen im Web.
 

Observatory

Seit der neusten Version bietet das Plugin auch eine Obervatory genannte Funktion welche als eine globale Online HPKP Datenbank gesehen werden kann. Ich verwende die Funktion jedoch nicht da neben Datenschutzbedenken auch ein Delay beim Aufruf vom Webseiten entsteht. SSL Seiten werden beim Aufruf nun in einer Online DB gegengeprüft ob diese auch das echte Zertifikat verwenden. Die Nutzung von Observatory ist aber freiwillig und kann bei der Installation des Plugins aktiviert oder deaktiviert werden.


Lange Rede kurzes Ende; Ein Plugin was in keinem Browser fehlen sollte:



 

Amazon Logo Diesen Blog unterstützen?
Bestell dir doch etwas bei Amazon. Nutze diesen speziellen Link, es kostet dich nichts extra und für jeden Kauf darüber erhalte ich eine kleine Gutschrift. Danke!
✉ Marco Götze//

Kommentare

Formate: | Größe: Mb
Anmelden mitoder Benutzernamen eingeben

keine Kommentare