21.11.2012 15:20
HTTP Strict Transport Security als Internet-Standard
Die Internet Engineering Task Force (IETF) hat die HTTPS-Sicherung HTTP Strict Transport Security (HSTS) als Internet-Standard im RFC 6797 veröffentlicht. Mit HSTS können einerseits (HTTP-)Server vorgeben, dass man die angebotenen Dienste ausschließlich über sichere, etwa per TLS verschlüsselte Verbindungen erreicht. Andererseits zwingt HSTS auch Anwendungsprogramme (User Agents) dazu, die Kommunikation mit Websites nur über verschlüsselte Verbindungen abzuwickeln.
HSTS richtet sich hauptsächlich gegen die bereits 2009 von Moxie Marlinspike beschriebenen Attacken auf SSL geschützte Websites. Diese Angriffe zielen nicht direkt auf das Knacken einer SSL-Verbindung. Sie machen sich stattdessen zunutze, dass Anwender in der Regel nie eine Seite mit einem vorangestellten https:// aufrufen. Vielmehr rufen sie zunächst die unverschlüsselte URL auf und bauen darauf, dass sie schon rechtzeitig auf die HTTPS-Version umgeleitet werden. Marlinspikes Angriffe verhindern dies jedoch – ohne dass der beteiligte Nutzer davon etwa durch Browser-Warnungen Kenntnis erhält.
Mittels eines Header-Eintrags informieren HSTS-taugliche Webserver anfragende Browser beim ersten Kontakt via [Update]HTTP[/Update] HTTPS darüber, dass alle Verbindungen zur Website per SSL/TLS verschlüsselt werden sollen. Der lässt sich zwar bei einem Man-in-Middle-Angriff noch herausfiltern, doch stehen inzwischen mit Chrome respektive Chromium und Firefox Browser bereit, die eine eingebaute Liste von HSTS-tauglichen Websites an Bord haben und somit wenigsten bei diesen Websites gegen diesen Angriff immun sind. Besser wäre es, wenn die HSTS-Informationen im DNS hinterlegt wären und man sie über die DNS-Sicherung DNSSEC abfragen könnte. Wie man Webserver wie Apache, Nginx oder Lighttpd dazu bringt, HSTS zu nutzen, beschreibt etwa das Open Web Application Security Project.
Der Vorschlag zu HSTS geht auf Arbeiten von den PayPal-Mitarbeiter Jeff Hodges, Collin Jackson von der Carnegie Mellon University sowie Adam Barth von Google zurück, die auch das RFC 6797 geschrieben haben. Ähnliche Aufgaben wie HSTS, also das sichere Umleiten des Nutzers auf die HTTPS-Ausgabe einer Webseite, erledigt auch das Chrome- und Firefox-Plugin HTTPS Everywhere der Electronic Frontier Foundation (EFF).
(rek)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
