HSTS: Edge-Feature fließt jetzt zum Internet Explorer 11 zurück

Windows 7, Windows 8.1, Windows Phone 8.1, internet explorer 11, ie11 Bildquelle: Microsoft
Angesichts der bevorstehenden Veröffentlichung von Windows 10 und dem dazugehörigen neuen Browser Edge ist die Aufmerksamkeit natürlich vor allem auf deren Weiterentwicklung gerichtet. Dabei soll allerdings nicht unter den Tisch fallen, dass Microsoft einige Neuerungen auch in bereits länger verfügbare Software einbaut.
Das betrifft im aktuellen Fall beispielsweise den Internet Explorer 11. Dieser erhält nun unter Windows 8.1 und Windows 7 ein Feature nachgereicht, das bisher zum festen Funktions-Set von Edge gehörte. Hierbei handelt es sich um die Umsetzung des HTTP Strict Transport Security (HSTS)-Standards, der im RFC 6797 beschrieben ist.

Das neue Feature wird aktuell an die bestehenden Internet Explorer-Installationen ausgeliefert. Es ist Bestandteil eines Upgrades, das zum gestrigen Patch Day bereitgestellt und in den dortigen Notizen nur relativ beiläufig erwähnt wird. Für den Nutzer bringt die Funktion allerdings einen deutlichen Zugewinn an Sicherheit.

Microsoft Build 2015Microsoft Build 2015Microsoft Build 2015Microsoft Build 2015
Microsoft Build 2015Microsoft Build 2015Microsoft Build 2015Microsoft Build 2015

Im ewigen Wettrennen zwischen den Anbietern von Online-Diensten auf der einen und Kriminellen und Geheimdiensten auf der anderen Seite gehen immer mehr Betreiber von Webseiten dazu über, alle Verbindungen über verschlüsselte SSL-Kanäle abzuwickeln. Anwender, die mit einem normalen HTTP-Aufruf auf die Domain oder einen konkreteren URL zugreifen wollen, werden dabei dann auf die verschlüsselte Version umgeleitet. Allerdings hat dieses Verfahren einen Haken: Angreifern ist es möglich, diese Weiterleitung mit einer Man-in-the-Middle-Attacke zu kapern und den Nutzern Inhalte ihrer Wahl zu präsentieren - wobei es meist darum geht, Zugangsdaten abzugreifen.

HSTS kann dies verhindern. Über einen Eintrag im Header der Seite erfährt der Browser explizit, dass das Angebot nur über HTTPS aufgerufen werden soll und andere Inhalte nicht entgegenzunehmen sind. Zwar besteht so immer noch die Möglichkeit, dass ein Angreifer genau beim ersten Aufruf einer entsprechenden Seite zuschlägt bevor der Browser mit der HSTS-Information versorgt werden konnte, was aber relativ unwahrscheinlich ist. Bei allen weiteren Kontakten zu dem Angebot versucht der Browser gar nicht mehr, unverschlüsselte Verbindungen zu der Seite zu verwenden.

Insbesondere bei häufig genutzten und sensiblen Diensten wie Webmailern, Payment-Services und Social Media-Plattformen bringt dies einen deutlichen Zugewinn an Sicherheit. Googles Browser Chrome ist beispielsweise schon einige Zeit mit dem Feature ausgestattet. Bei Microsoft tauchte es zuerst zum Jahresbeginn in einer Technical Preview von Windows 10 auf, in der auch noch der Internet Explorer 11 als Browser eingesetzt wurde. Später wurde die HSTS-Implementierung hier in Edge überführt. Nun steht sie den Anwendern aber auch per Update auf den älteren Windows-Plattformen zur Verfügung.

Das entsprechende Update wird automatisch mit allen anderen Patches ausgeliefert. Wer seinen Rechner nicht automatisiert auf dem neuesten Stand halten will oder kann, bekommt alle Akualisierungen aber auch mit dem WinFuture-Update-Pack, das noch heute in der neuesten Fassung erscheint. Sobald es zum Download bereitsteht, informieren wir euch auf den üblichen Kanälen.

WinFuture.de
Update-Packs für aktuelle Windows-Versionen
Windows 7, Windows 8.1, Windows Phone 8.1, internet explorer 11, ie11 Windows 7, Windows 8.1, Windows Phone 8.1, internet explorer 11, ie11 Microsoft
Diese Nachricht empfehlen
Kommentieren12
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Tipp einsenden