Das HTTPS Protokoll (Hypertext Transfer Protocol Secure) ist eine solide Basis für sichere Datenübertragung. Aber nicht eine eierlegende Wollmilchsau.
Problem: Der Angriff des Mannes in der Mitte
User, die beispielsweise nur duba.blog
in die Adresszeile ihres Browsers eingegeben, öffnen einem Angreifer eine Hintertür. Denn diese Anfrage wird durch ihren Browser vorerst über HTTP (!) bis zu meinem Server geschickt.
– Hier ist die Hintertür für den Mann –
Mein Server wandelt die Verbindung in HTTPS um und in ihrer Adresszeile erscheint das SSL Symbol (Schloss) und darunter die aufgerufene Seite.
Lösung: HSTS – HTTP Strict Transport Security
HSTS ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schützen soll. – Wikipedia
Oft ist HSTS zwar im Vertrag inkludiert, aber nicht aktiviert! Finden kann man die Aktivierung, je nach Provider unter Domains & SSL / Domain / HSTS aktivieren.
Wichtig: HTTPS muss bereits vorher aktiv sein!
Weitere Sicherheitrseinstellungen
No Sniff Header
Setzt mein Server den HTTP-Header X-Content-Type-Options: nosniff, so wird deinem Browser signalisiert, dass der MIME-Type in jedem Fall respektiert werden soll. Javascript-Code in Bildern wird damit ignoriert.
Preload
Dieses Flag signalisiert Webbrowsern, dass die HSTS-Konfiguration einer Website für das Vorladen geeignet ist. Ohne Preload wird HSTS erst nach einer erfolgreichen HTTPS-Erstanfrage eingerichtet. Kann ein Angreifer diese Erstanfrage abfangen und herunterstufen, kann HSTS umgangen werden. Mit Preload wird dieser Angriff verhindert. – Cloudflare
Vielleicht habe ich ja das Internet mit diesem Beitrag etwas sicherer gemacht?
Liebe Grüße und Bleibts gsund!
Railgun™ Content Delivery Network by IONOS and CloudFlare plus Kostenvergleich Top 3 – Duba.blog