„Man in the Middle“ – oder das vergessene HSTS

Kategorie: Dies & Das

Tags: HSTS / https / Internet

Veröffentlicht am

Das HTTPS Protokoll (Hypertext Transfer Protocol Secure) ist eine solide Basis für sichere Datenübertragung. Aber nicht eine eierlegende Wollmilchsau.

Problem: Der Angriff des Mannes in der Mitte

User, die beispielsweise nur duba.blog in die Adresszeile ihres Browsers eingegeben, öffnen einem Angreifer eine Hintertür. Denn diese Anfrage wird durch ihren Browser vorerst über HTTP (!) bis zu meinem Server geschickt.

– Hier ist die Hintertür für den Mann –

Mein Server wandelt die Verbindung in HTTPS um und in ihrer Adresszeile erscheint das SSL Symbol (Schloss) und darunter die aufgerufene Seite.

Lösung: HSTS – HTTP Strict Transport Security

HSTS ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schützen soll. – Wikipedia

Oft ist HSTS zwar im Vertrag inkludiert, aber nicht aktiviert! Finden kann man die Aktivierung, je nach Provider unter Domains & SSL / Domain / HSTS aktivieren.
Wichtig: HTTPS muss bereits vorher aktiv sein!

Sicherheitseinstellungen von Cloudflare

Weitere Sicherheitrseinstellungen

No Sniff Header

Setzt mein Server den HTTP-Header X-Content-Type-Options: nosniff, so wird deinem Browser signalisiert, dass der MIME-Type in jedem Fall respektiert werden soll. Javascript-Code in Bildern wird damit ignoriert.

Preload

Dieses Flag signalisiert Webbrowsern, dass die HSTS-Konfiguration einer Website für das Vorladen geeignet ist. Ohne Preload wird HSTS erst nach einer erfolgreichen HTTPS-Erstanfrage eingerichtet. Kann ein Angreifer diese Erstanfrage abfangen und herunterstufen, kann HSTS umgangen werden. Mit Preload wird dieser Angriff verhindert. – Cloudflare

Vielleicht habe ich ja das Internet mit diesem Beitrag etwas sicherer gemacht?

Liebe Grüße und Bleibts gsund!

Die mobile Version verlassen