|
|
| Zeile 13: |
Zeile 13: |
| | [[Datei:hsts.jpg]] | | [[Datei:hsts.jpg]] |
| | | | |
| − | ==HSTS==
| + | =HSTS= |
| − | | + | *[[HSTS]] |
| − | Als eine Maßnahme gegen Man-in-the-middle-Angriffe wurde im September 2009 das HTTP Strict Transport Security- oder kurz HSTS-Verfahren vorgeschlagen. Im November 2012 wurde HSTS als RFC 6797 herausgegeben. Der Betreiber sendet hierbei einen HTTP response header namens „Strict-Transport-Security“ und unter anderem eine Zeitangabe. Vor deren Ablauf erkennt die Gegenseite bei erneuter Kommunikation den Absender wieder und erzwingt die Verschlüsselung für alle Ports des IP-Protokolls und alle im Zertifikat enthaltenen Subdomains.
| |
| − | | |
| − | Dafür ausgelegte Browser, wie z. B. Firefox (ab Version 4), Chrome (ab Version 4.0.211) oder Internet Explorer (ab Version 11),[13] wickeln die Sitzung (englisch session) für die angegebene Zeit verschlüsselt ab.
| |
| − | | |
| − | Ein Nachteil des HSTS-Verfahrens besteht in der Nachverfolgbarkeit des Nutzerverhaltens. Da es beim HSTS-Entwurf als umständlich galt, wenn ein Browser bei jedem Aufruf eine Umleitung durchläuft, wurde eine Richtlinie (englisch policy) implementiert, die sich an besuchte Seiten erinnert. Dies entspricht einem HTTPS-Super-Cookie, den jede Webseite lesen kann – auch im „Inkognito“- oder „Private“-Modus. Im Zuge der Enthüllungen von Edward Snowden wurde bekannt, dass Geheimdienste Cookies systematisch missbrauchten, um Spionagesoftware zielgerichtet auf Rechnern zu platzieren, um diese fernzusteuern. In Chrome, Firefox, Opera und Internet Explorer kann der Nutzer die Liste der besuchten Seiten mit aktiviertem HSTS leeren, in Apples Safari-Browser jedoch nicht.[14]
| |
| − | | |
| − | *https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure#HSTS
| |
| − | *http://blog.philippheckel.com/2013/07/01/how-to-use-mitmproxy-to-read-and-modify-https-traffic-of-your-phone/
| |
