HSTS-Standard zwingt zu verschlüsselter Verbindung

Konsole, Ubuntu, Terminal Bildquelle: Andrew Currie / Flickr
Die Kommunikation über das World Wide Web soll mit einer verbesserten Technologie sicherer werden. HTTP Strict Transport Security (HSTS) hat jetzt den Status eines Internet-Standards erreicht.
Dabei handelt es sich um einen Mechanismus, der Verbindungen, die bereits über HTTPS verschlüsselt ablaufen, unanfälliger gegen eine Reihe gebräuchlicher Angriffe zu machen. Insbesondere geht es hier darum, zwischen dem Server und dem Browser zu klären, dass eine Webseite ausschließlich via HTTPS zur Verfügung steht.

Denn in der Vergangenheit gelang es Angreifern immer wieder, die Verbindungen durch verschiedene Maßnahmen aus dem verschlüsselten Bereich auf das normale, ungesicherte HTTP-Niveau zu ziehen, auf dem dann problemlos die übertragenen Informationen ausgelesen werden konnten. Insbesondere Webseiten, auf denen ohnehin sowohl Inhalte via HTTP als auch HTTPS eingebunden waren, zeigten hier Anfälligkeiten.

Weiterhin sind in HSTS Mechanismen enthalten, mit denen das so genannte SSL-Stripping unterbunden wird. Dabei handelt es sich um Man-in-the-middle-Attacken, für die inzwischen auch schon Tools zur Verfügung stehen, mit denen das Ausspähen von Daten automatisiert erfolgen kann.

Heute hat die Internet Engineering Task Force (IETF), der die Entwicklung von Standards im Internet obliegt, HSTS offiziell bestätigt. Die Spezifikationen sind im RFC 6797 beschrieben. Den ursprünglichen Entwurf hatten Jeff Hodges von PayPal, Collin Jackson von der Carnegie Mellon University und Adam Barth von Google ausgearbeitet. 2010 übernahm dann die Web Security Working Group der IETF die Weiterentwicklung zum allgemeinen Internet-Standard.

HSTS zwingt Webserver und Browser letztlich, über einen festgelegten Zeitraum ausschließlich verschlüsselt zu kommunizieren. Bis die Laufzeit der Policy ausläuft, werden unsichere Verbindungen stets abgelehnt. Bisher setzen allerdings nur einige größere Portale diese Methode ein. Es ist aber damit zu rechnen, dass sich dies bald ändert, wenn HSTS nun als offizieller Standard vorliegt. Konsole, Ubuntu, Terminal Konsole, Ubuntu, Terminal Andrew Currie / Flickr
Diese Nachricht empfehlen
Kommentieren5
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr F-Secure Internet Security - 1 Jahr / 1 Computer
F-Secure Internet Security - 1 Jahr / 1 Computer
Original Amazon-Preis
22,99
Im Preisvergleich ab
22,99
Blitzangebot-Preis
18,48
Ersparnis zu Amazon 20% oder 4,51

Video-Empfehlungen

Tipp einsenden