World Wide Web Techniken: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Der Seiteninhalt wurde durch einen anderen Text ersetzt: „=HTTP, HTTPS, HTTP-Header, Referrer= *HTTP *HTTPS *HTTP-Header *Referrer *HSTS *Sessions *Session Hijackin…“)
Zeile 1: Zeile 1:
 
=HTTP, HTTPS, HTTP-Header, Referrer=
 
=HTTP, HTTPS, HTTP-Header, Referrer=
==HTTP==
+
*[[HTTP]]
* Hypertext Transfer Protocol
+
*[[HTTPS]]
* Zustandsloses Protokoll zur Datenübertragung in Netzen.
+
*[[HTTP-Header]]
* Wird hauptsächlich eingesetzt um Websites in einen Webbrowser zu laden.
+
*[[Referrer]]
* Client Server Modell
 
==HTTPS==
 
* Hypertext Transfer Protocol Secure
 
* Erweiterung von HTTP so dass Daten verschlüsselt zwischen Client und Server übertragen werden.
 
* Ende-zu-Ende-Verschlüsselung und Authentifizierung.
 
* Hinzufügen einer Schicht zwischen HTTP und TCP
 
* Verhinderung von Phishing Attacken und Man-in-the-Middle-Angriffe.
 
==HTTP-Header==
 
* Bestandteile der HTTP-Protokollheaders
 
* Erlauben die Übergabe zusätzlicher Informationen bei einer Anfrage (Client) oder einer Antwort (Server).
 
* Syntax: Name und durch einen Doppelpunkt getrennter Wert. Beispiel -> Accept-Language: *
 
* Duch Einsatz spezieller Header läßt sich die Sicherheit von Websites erhöhen. (zum Beispiel Festlegung, dass die Seite nur per HTTPS aufgerufen werden darf)
 
==Referrer==
 
* HTTP-Header der als Wert die URL der vorher besuchten Webseite enthält.
 
* Kann zu Analysezwecken und Logging benutzt werden.
 
* Kann für den Nutzer die unerwünschte Freigabe von Informationen bedeuten.
 
* Kann ein Sicherheitsproblem sein.
 
* Beispiel Reset-Password-Page mit Link weitere Seite (über angezeigte Werbung oder Social Media Links)
 
==HSTS==
 
 
*[[HSTS]]
 
*[[HSTS]]
 
+
*[[Sessions]]
=Sessions, Cookies, Aktive Inhalte=
+
*[[Session Hijacking]]
==Sessions==
+
*[[Session Fixation]]
* Behebung des Problems der Zustandslosigkeit des HTTP Protokolls.
+
*[[Cookies]]
* Anhand der eindeutigen Session-ID können einem Client Daten über den Verlauf mehrerer Anfragen zugeordnet werden.
+
*[[Aktive Inhalte]]
* Speicherung der Sessiondaten Serverseitig
 
* Einsatz zum Beispiel beim Warenkorb von Online Shops
 
==Session Hijacking==
 
* Entführen der Session und zu Erlangen der Vertrauensstellung
 
* Zuerst passives Sniffing der Kommunikation. (Bei HTTP Verkehr direkter Zugriff auf Physical Layer oder Man-in-the-Middle-Attack; bei HTTPS Verkehr muss die Verschlüsselung zunächst aufgebrochen werden.)
 
# Entführen von TCP-Sitzungen: Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender.
 
# Entführen von Web-Sitzungen: Übernahme der Verbindung durch Diebstahl oder Erraten der Session-ID
 
* Gegenmaßnahme besteht in der Verwendung von HTTPS, Challenge-Respone-Authentifizierung (Authentifizierungsverfahren auf Basis von Wissen), dem Verbot von Cross-Site Scripting
 
==Session Fixation==
 
* Angreifer läßt sich eine Gültige Session ID ausstellen, die er anschließend dem Opfer unterschiebt.
 
* Authentifiziert sich das Opfer am System, kann der Angreifer Zugriff erhalten solange die Session ID gültig ist.
 
* Einsatz bei der Kompromottierung von Webanwendungen. (URL-Manipulation, Cross-Site-Scripting)
 
==Cookies==
 
* Daten die von einer Website auf dem Client gespeichert werden.
 
* Wird vom Webserver an den Browser geschickt oder im Browser von einem Script erzeugt.
 
* Kann zu einem späteren Zeitpunkt vom Server ausgelesen werden.
 
* Bieten die Möglichkeit des Trackings.
 
* Sicherheitseinstellungen des Browsers zu Cookies beachten.
 
 
 
==Aktive Inhalte==
 
* Inhalte von Webseiten, die auf dem System des Client ausgeführt werden.
 
* JavaScript, ActiveX, VBScript, Java
 
* Angreifer können zu anderen Webseiten umleiten, Daten ausspähen, verändern oder löschen, Schadsoftware auf das System des Opfers laden.
 
* Browsereinstellungen zur Ausführung aktiver Inhalte beachten.
 
 
=Proxys, Anonymisierung (TOR, JAP)=
 
=Proxys, Anonymisierung (TOR, JAP)=
 
=Datenspeicherung in Browsern (Cookies, Verlauf, Cache) bei Internet Explorer und Mozilla=
 
=Datenspeicherung in Browsern (Cookies, Verlauf, Cache) bei Internet Explorer und Mozilla=

Version vom 7. Oktober 2020, 15:54 Uhr

HTTP, HTTPS, HTTP-Header, Referrer

Proxys, Anonymisierung (TOR, JAP)

Datenspeicherung in Browsern (Cookies, Verlauf, Cache) bei Internet Explorer und Mozilla

Abgerufen von „http://wiki.ixheim.de/index.php?title=World_Wide_Web_Techniken&oldid=21478