Aktuelles bei com|union

Security-Header

"Schlafende Hunde soll man nicht wecken!" – jedoch wäre es in diesem Fall sehr nützlich.

Die Hauptaufgabe eines Browser ist eigentlich, so schnell wie möglich die gewünschte Webseite anzuzeigen. Jedoch ist das in der heutigen Zeit gar nicht mehr so einfach durch die tausenden Web-Standards, die solch ein Ausgabegerät mittlerweile lernen muss. Der Browser muss verschiedene HTML-Tags, CSS-Attribute und JavaScript-API’s erkennen; dass ist eine ganz schöne Mammutaufgabe.

Zahlreiche "offensichtliche " Komfortfunktionen sollen das Erlebnis mit dem ausgewählten Browser so unkompliziert wie möglich machen, jedoch braucht es nicht zuletzt ein Erweiterungssystem, denn ohne PlugIns und Toolbars lassen sich wichtige Funktionen nicht nachrüsten.

Durch die Nachrüstung sollen die Nutzer u.a.vor Angriffen geschützt werden. Viele dieser Funktionen sind "einfach da", andere aber müssen explizit aktiviert werden – und das geht durch die sog. „HTTP Security-Header“.

 

Was genau sind nun diese HTTP Security-Header?

Sie setzen sich aus etlichen zu treffenden Schutzmaßnahmen zusammen und dienen z.B. dazu, die Angriffsflächen für das Ausnutzen einer Sicherheitslücke, manipulierte Bilder oder Datenbanken, Überlagerung der Internetseite, etc. auf ein Minimum zu reduzieren. Hierfür werden spezielle Befehle eingesetzt und individuell auf jede einzelne Webseite konfiguriert, die dem Browser bei allen Seitenaufrufen Leitlinien geben, wie er mit bestimmten Daten umgehen soll bzw. wie er sich dabei zu verhalten hat.

 

Wo versteckt sich der HTTP-Header?

Das HTTP-Protokoll bildet bis heute die Basis für das World-Wide-Web, also die wundervolle Welt des Internets. HTTP ist gewissermaßen die “Sprache”, mit der der Browser Ihre Suchanfrage bei Google oder der Reiseblog Ihrer besten Freundin oder Freundes anzeigen lässt. Durch den Server bekommen Sie eine Antwort und erhalten sowohl allgemeine Informationen, als auch die eigentlichen Nutzdaten, also die Datei die vom Server angefordert wurde. Die “allgemeinen Informationen” werden hierbei vorab im Kopf-Bereich der Antwort übertragen und bilden somit den „Kopf der Nutzeranfrage“. In diesem Head werden dann gleich mehrere Informationen übertragen, jeder Informations-Datensatz ist dabei ein Header. Die versteckten Sicherheitsfunktionen werden durch die HTTP Security-Header aktiviert.

 

Und was haben nun diese Header mit der Sicherheitsfunktionen zutun?

Eine Vielzahl an Schutzfunktionen haben die modernen Browser unlängst, um Sie als Nutzer zu schützen. Einige Funkionen sind vorprogrammiert, wenn Sie sich den Browser herunterladen. Doch andere Schutzfunktionen wurden erst später im Laufe der Zeit definiert, als aus einer bisher legitim verwendeten Standard-Webfunktion, eine ernst zunehmende Angriffsfläche wurde.

Eine wahre Datenschutzkatastrophe wurde mit dem sog. Clickjacking erfunden, bei dem man Sie als Nutzer glauben lässt, dass Sie mit einer anderen Website agieren, die über ein „iFrame“ in der angreifenden Seite eingebettet ist – Mausklicks oder Tastatureingaben, wie z.B. beim Online-Banking, werden dann in Wahrheit in Eingabefelder auf der angreifenden Seite eingegeben. Diese werden dann für den Angreifer transparent und kann nun über Ihre Daten verfügen.

Hier sind jetzt die Browser-Hersteller gefragt: wie sollen Sie als Nutzer vor Clickjacking geschützt werden, wenn Sie nicht wissen können, ob ein iFrame legitim oder bösartig ist?

 

Sie als Nutzer sollten aktiv die Entscheidung treffen, den HTTP Security Header zu aktivieren.

Somit werden die “Wachhunde” des Browsers aktiv, die normalerweise im Hintergrund schlummern, was in bestimmten Angriffsszenarien erhebliche Sicherheitsgewinne mit sich bringt.

 

Wir helfen Ihnen dabei mit einem relativ geringen Arbeitssaufwand Ihre Webseite keine Plattform für Angreifer zu bieten.

Melden Sie sich bei uns unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder bei dem Ihnen bekannten Ansprechpartner Ihres Vertrauens.