Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Entwicklung & Design

Neues Security-Feature von HTTPS bietet großes Potenzial für Missbrauch

    Neues Security-Feature von HTTPS bietet großes Potenzial für Missbrauch

HSTS sorgt für sichere Verbindungen. (© hakandogu - Fotolia.com)

Um HTTPS zukünftig besser gegen Man-in-the-middle-Angriffe zu schützen, wurde 2012 das neue HSTS-Verfahren veröffentlicht. Dieses Verfahren hat allerdings ein erhebliches Potenzial um als teilweise unlöschbares Super-Cookie Informationen beim Client zu speichern.

Das „HTTP Strict Transport Security“-Verfahren kann genutzt werden, um die HTTP-Verbindung besser gegen Man-in-the-middle-Angriffe zu schützen. Dabei wird ein spezieller HTTP-Response-Header, namens „Strict-Transport-Security“ inklusive eines Zeitraums für die Gültigkeit dieses Headers, übermittelt.

Dieser Mechanismus hat zum Ziel, Nutzer von HTTP-Verbindungen auf sichere HTTPS-Verbindungen umzuleiten. Somit kann ein Nutzer http://domain.com aufrufen und wird automatisch auf das verschlüsselte HTTPS-Protokoll umgeleitet. Der Header ist für alle Ports und Sub-Domains des Zertifikats gültig – und genau hier liegt das Problem.

HTTPS: HSTS soll Sicherheit verbessern

HTTPS
HTTPS wird durch HSTS bei der Verbindung sichergestellt. (© hakandogu - Fotolia.com)

Bei der Konzeption von HSTS sind die Entwickler davon ausgegangen, dass es umständlich ist, wenn der Browser bei jedem Auruf einen Redirect durchlaufen muss: Es wurde eine Policy implementiert, die sich an besuchte Websites erinnert.

Sam Greenhalgh hat genau hier eine Art HTTPS-Super-Cookie entdeckt, denn es wird bei der Weiterleitung auf die HTTPS-Verbindung ein für Nutzer und Website einzigartiger Pin gesetzt, der von jeder Website ausgelesen werden kann – unabhängig davon, ob ein „Inkognito“- oder „Private“-Mode genutzt wird. Internet Explorer ist nicht betroffen, da der Microsoft-Brwoser das HSTS-Sicherheits-Feature nicht unterstützt.

Once the number is stored it could be read by other sites in the future. Reading the number just requires testing if requests for the same web addresses are redirected or notSam Greenhalgh

HTTPS-Problem bei Safari am schlimmsten

Einige Browser, die HSTS unterstützen, können das HSTS-Flag deaktiveren, darunter sind Chrome, Firefox und Opera. Die Ausnahme bildet hier Safari:

When using Safari on an Apple device there appears to be no way that HSTS flags can be cleared by the user. HSTS flags are even synced with the iCloud service so they will be restored if the device is wiped. In this case the device can effectively be 'branded' with an indelible tracking value that you have no way of removing.Sam Greenhalgh

Durch die Synchronisation mit iCloud ist dieses „HSTS-Super-Cookie“ auf Apple-Geräten quasi unlöschbar und lässt eine eindeutige Identifizierung des Users zu.

Mehr zum Thema HTTPS könnt ihr hier lesen und in unserem Artikel über TLS/SSL.

via www.radicalresearch.co.uk

Finde einen Job, den du liebst

Schreib den ersten Kommentar!

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen