t3n News Entwicklung

Neues Security-Feature von HTTPS bietet großes Potenzial für Missbrauch

Neues Security-Feature von HTTPS bietet großes Potenzial für Missbrauch

Um HTTPS zukünftig besser gegen Man-in-the-middle-Angriffe zu schützen, wurde 2012 das neue HSTS-Verfahren veröffentlicht. Dieses Verfahren hat allerdings ein erhebliches Potenzial um als teilweise unlöschbares Super-Cookie Informationen beim Client zu speichern.

Neues Security-Feature von HTTPS bietet großes Potenzial für Missbrauch

HSTS sorgt für sichere Verbindungen. (© hakandogu - Fotolia.com)

Das „HTTP Strict Transport Security“-Verfahren kann genutzt werden, um die HTTP-Verbindung besser gegen Man-in-the-middle-Angriffe zu schützen. Dabei wird ein spezieller HTTP-Response-Header, namens „Strict-Transport-Security“ inklusive eines Zeitraums für die Gültigkeit dieses Headers, übermittelt.

Dieser Mechanismus hat zum Ziel, Nutzer von HTTP-Verbindungen auf sichere HTTPS-Verbindungen umzuleiten. Somit kann ein Nutzer http://domain.com aufrufen und wird automatisch auf das verschlüsselte HTTPS-Protokoll umgeleitet. Der Header ist für alle Ports und Sub-Domains des Zertifikats gültig – und genau hier liegt das Problem.

HTTPS: HSTS soll Sicherheit verbessern

HTTPS
HTTPS wird durch HSTS bei der Verbindung sichergestellt. (© hakandogu - Fotolia.com)

Bei der Konzeption von HSTS sind die Entwickler davon ausgegangen, dass es umständlich ist, wenn der Browser bei jedem Auruf einen Redirect durchlaufen muss: Es wurde eine Policy implementiert, die sich an besuchte Websites erinnert.

Sam Greenhalgh hat genau hier eine Art HTTPS-Super-Cookie entdeckt, denn es wird bei der Weiterleitung auf die HTTPS-Verbindung ein für Nutzer und Website einzigartiger Pin gesetzt, der von jeder Website ausgelesen werden kann – unabhängig davon, ob ein „Inkognito“- oder „Private“-Mode genutzt wird. Internet Explorer ist nicht betroffen, da der Microsoft-Brwoser das HSTS-Sicherheits-Feature nicht unterstützt.

Once the number is stored it could be read by other sites in the future. Reading the number just requires testing if requests for the same web addresses are redirected or notSam Greenhalgh

HTTPS-Problem bei Safari am schlimmsten

Einige Browser, die HSTS unterstützen, können das HSTS-Flag deaktiveren, darunter sind Chrome, Firefox und Opera. Die Ausnahme bildet hier Safari:

When using Safari on an Apple device there appears to be no way that HSTS flags can be cleared by the user. HSTS flags are even synced with the iCloud service so they will be restored if the device is wiped. In this case the device can effectively be 'branded' with an indelible tracking value that you have no way of removing.Sam Greenhalgh

Durch die Synchronisation mit iCloud ist dieses „HSTS-Super-Cookie“ auf Apple-Geräten quasi unlöschbar und lässt eine eindeutige Identifizierung des Users zu.

Mehr zum Thema HTTPS könnt ihr hier lesen und in unserem Artikel über TLS/SSL.

via www.radicalresearch.co.uk

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Security
WordPress auf HTTPS: So stellst du deine Seite komplett um
WordPress auf HTTPS: So stellst du deine Seite komplett um

Eigentlich sollte es nicht schwer sein, eine CMS-Website von http auf HTTPS umzustellen – bei WordPress ist das aktuell aber noch mit ein bisschen Aufwand verbunden. Wie ihr eure WordPress-Website … » weiterlesen

Roboter statt Security-Mann: In Apples Heimat patroulliert dieser putzige „RoboCop“
Roboter statt Security-Mann: In Apples Heimat patroulliert dieser putzige „RoboCop“

In der kalifornischen Stadt Palo Alto, bekannt vor allem als Konzernsitz von Apple, patroulliert ein Roboter vor einem Einkaufszentrum. Der Knightscope hat keine Waffen wie der „RoboCop“, kann … » weiterlesen

Drown attackiert HTTPS-Server: Datenklau trotz verschlüsselter Verbindungen
Drown attackiert HTTPS-Server: Datenklau trotz verschlüsselter Verbindungen

Vergesst Heartbleed, die neue Bedrohung für Daten im Netz heißt „Drown“. Forschern zufolge ist fast jeder dritte HTTPS-Server weltweit betroffen. Server-Betreiber sollten schnell reagieren. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?