HSTS: Die Sicherheit, die alle Websites verwenden sollten

Man könnte meinen, dass von jetzt im Internet genug gewachsen wäre, die Dinge wie online-Banking, e-Mail- und Regierungschefs Webseiten verlassen würde, auf gründlich technische Sicherheit, um sicherzustellen, dass Ihre Daten von Angreifern abgefangen ist nicht. Leider geht es um die überwiegende Mehrheit der Websites im Internet, wäre diese Annahme völlig falsch. Das ist, weil die meisten Webseiten (mit wenigen Ausnahmen) nicht noch einen Standard namens HSTS unterstützen — HTTPS strenge Transportsicherheit.

Warum ist Mangel an HSTS noch ein Thema? Um zu sehen, was schief gehen könnte, stellen Sie sich das folgende gemeinsame Szenario. Du bist in einem Coffee-Shop und möchten Ihr Bank-Konto zu überprüfen. Sie pop öffnen Sie Ihren Laptop, mit WLAN verbinden, laden Sie Ihr Web-Browser und geben Sie Ihrer Bank URL. Keine Sicherheitswarnungen angezeigt wenn Sie laden Sie die Seite, und es sogar ein Vorhängeschloss-Symbol neben der Adresse gibt, so dass Sie voran gehen und anmelden. Leider, Sie könnte sehr gut nur Ihre Login-Daten an ein potentieller Angreifer gesendet haben.

Die Art und Weise des Angriffs gearbeitet ist wie folgt. Als Ihr Browser zuerst versuchte, wenden Sie sich an den Bankrechner und laden Sie ihre Homepage über HTTP, der Angreifer die Kontaktanfrage abgefangen und verhindert, dass es immer dort (vielleicht indem er seinen Laptop vorgeben zu sein, dass freie Wifi-Hotspot). Er schickte dann Ihre Anfrage an Server der Bank selbst. Als er die Antwort zurück (d.h. die Webseite zu laden, der Bilder, Display, etc.) kam er ausgezogen, alle Links, die eine sichere HTTPS-Verbindung auslösen würde die Seite geändert, damit es das Vorhängeschloss-Symbol neben der Adresse (durch Festlegen eines Vorhängeschlosses als das Favicon) zeigen würden, und schickte es zurück zu Ihrem Laptop. Natürlich sind diese Arten von Angriffen automatisiert. Das Ergebnis ist eine Seite, die in Ihrem Web-Browser gleich aussieht – der einzige Unterschied ist, dass es ist nicht gesichert, und der Angreifer kann lesen Sie alles, was Sie an den Server senden und alles was zurück gesendet wird.

Aber warum konnte nicht Ihren Browser erkennen den Angriff? Das Problem ist, dass moderne Browser prominente Sicherheitswarnungen angezeigt, nur, wenn eine Website Sicherheitsanmeldeinformationen verdächtig erscheinen, wenn eine Website über einen sicheren Kanal verbindet und alles scheint OK nichts viel passiert und das gleiche gilt, wenn die Website über einen normalen, unsicheren Kanal verbindet. Ohne HSTS Browser haben keine Möglichkeit zu wissen, dass eine Website sollte sicher geliefert werden, und damit Sie, wenn eine Website kann nicht informieren, die sicher geladen werden soll (z. B. die Website Ihrer Bank) wird stattdessen über eine normale Verbindung (d.h. sendet die unverschlüsselte Version der Angreifer Ihnen stattdessen) geladen. HSTS behebt, dass dadurch, dass der Server eine Nachricht an den Browser, die sagen: "Hey!" Verbindungen für mich sollten verschlüsselt werden!"und ermöglicht Browser verstehen und Handeln auf die Nachricht.

Warum also aktiviert noch nicht mehr Websites HSTS? Der wichtigste Grund, wir fürchten, ist, dass Web-Entwickler ein weiteres Problem ist, dass die Unterstützung für HSTS in Browsern unvollständig gewesen nicht nur wissen über 1: nur Chrome, Firefox und Opera HSTS für einen erheblichen Zeitraum Unterstützung gehabt haben. Dies ändert sich aber: Wir haben festgestellt, dass Apple ruhig hinzugefügt HSTS Unterstützung für Safari in OS X 10.9. Jetzt Internet Explorer unterstützt keine HSTS – was bedeutet, dass im Grunde genommen gibt es keine solche Sache wie eine sichere Website in IE.

In Antwort auf Fragen von EFF über diese Situation sagte ein Microsoft-Sprecher EFF, dass das Unternehmen nun, zur Unterstützung der HSTS in die nächste große Version von Internet Explorer verpflichten würde (wir sind nicht sicher, ob wir überredet haben Microsoft HSTS früher, zu implementieren, obwohl das scheint sehr wahrscheinlich, und ist eine gute Nachricht). Dies bedeutet, dass mit der nächsten major-Release von Internet Explorer, alle großen Browser ordnungsgemäß gesicherten Websites unterstützen wird.

In der Zwischenzeit was können Benutzer tun, um sicherzustellen, dass ihre Verbindungen sicher sind? Eine Möglichkeit wäre, EFF zu verwenden. HTTPS Everywhere sagt automatisch gesicherte Verbindungen verwenden des Browsers auf viele (aber nicht alle) Websites, die unterstützen; auf vielen Bereichen funktioniert es wie ein Client initiierten Äquivalent des vohandene HSTS Mechanismus.

Aber was ist, wenn Sie stecken in einem Browser, der nicht unterstützt HSTS oder HTTPS Everywhere oder eine Website, die HSTS nicht unterstützt? Jetzt ein versierter Benutzer tun kann ist es, stets sorgfältig prüfen, die Adresse der Website, die Sie geladen haben, und stellen Sie sicher, dass es sicher indem Sie überprüfen, stellen Sie sicher, es hat "Https" in der Front und die genaue Adresse Sie möchten visit.2 leider dabei wird davon ausgegangen, dass Sie im Voraus wissen (und nicht vergessen) unabhängig davon, ob eine Website sicher sein sollte , und sind akribisch mit jeder Website, die Sie besuchen. Dies ist natürlich eine enorme Belastung auf Benutzer platzieren – es macht viel mehr Sinn, den Prozess über HSTS automatisieren, und es ist über Zeit-Website-Betreiber die Welt über den Durchhang abgeholt und getan.

(1) und wie aktiviere Sie HSTS, wenn Sie eine Website-Betreiber sind? Wenn Sie Apache verwenden, ist die Lösung einfach. Und wenn Sie IIS 7 ausführen, es ist nicht so schwer entweder.

(2) Wenn Sie in "Https" eingegeben, aber bekam ein "http" Seite umgeleitet, dann entweder die Website tatsächlich unterstützt keine HTTPS oder jemand ist Ihre Verbindung stören. In beiden Fällen sollten Sie nur fortsetzen, wenn Sie OK sind alle Informationen, die Sie einreichen von wer hören will abgeholt werden.

Dieser Artikel erschien zuerst auf Electronic Frontier Foundation und ist hier unter Creative Commons Lizenz veröffentlicht. Bild über Shutterstock.