Weka Plus

HSTS: Webseitensicherheit durch HSTS

Dass Webseiten aus Gründen der Sicherheit vorzugsweise verschlüsselt aufgerufen werden sollten, hat sich inzwischen herumgesprochen. Trotzdem genügt es nicht, wenn Sie Ihren Webauftritt von http:// auf https:// umleiten – genau in dieser Umleitung lauert eine Sicherheitslücke, und zwar bedroht diese die PCs der Webseitenbesucher. Mit HSTS können Sie Ihre Webseite noch sicherer machen.

05.03.2024 Von: Lars Behrens
HSTS

Per HTTPS abgesicherte Seite

Heutzutage ist ein Webauftritt ohne eine per SSL verschlüsselte Version undenkbar. Zum einen dient dies der Absicherung der Aufrufe. Ihre Besucher können sicher sein, dass beispielsweise Passwörter eines Logins zu Ihrem Content Management System usw. nicht im Klartext übertragen werden. Zum anderen ergibt sich aus heutigen Datenschutzbestimmungen die Notwendigkeit, personenbezogene Daten, die Besucher Ihrer Webseite etwa beim Ausfüllen des Kontaktformulars preisgeben, vor unbefugtem Zugriff zu schützen - und nach allgemeiner Auffassung gehört dazu eine per HTTPS abgesicherte Seite. Ausserdem honoriert die Suchmaschine Google die Verschlüsselung von Webseiten mit einer etwas besseren Platzierung in den Suchergebnissen.

Nun können Sie Ihren Webserver so konfigurieren, dass eine Webseite ausschliesslich verschlüsselt abrufbar ist, also nur noch auf https:// hört. Ein Aufruf von http: //weka.ch wird dann vom Server auf https: //weka.ch umgeleitet. Allerdings garantiert auch dies noch keine vollständige Sicherheit. Ein Angreifer könnte mittels einer so genannten Man-in-the-Middle-Attacke den Aufruf der Webseite umleiten, möglicherweise den gesamten HTTP-Datenstrom des Besuchers abhören und diesem sogar eine gefälschte Version einer Webseite präsentieren.

Die Anfragen Ihres Browsers könnten durch einen Hacker manipuliert werden

Diese potentielle Sicherheitslücke entsteht dadurch, dass eine Webseite auch über http:// erreichbar sein sollte - es könnte ja ein Besucher diese URL fest verlinkt haben. Bietet Ihr Webserver nur noch https: //weka.ch und nicht mehr http: //weka.ch an, würde so mancher Besucher, der die unverschlüsselte Version aufruft und nicht auf die verschlüsselte Seite umgeleitet wird, eine Fehlermeldung erhalten und schlimmstenfalls davon ausgehen, dass Ihr Internetauftritt nicht mehr erreichbar ist. In der Regel leitet man also einen Aufruf von http: //weka.ch per Webserver auf https: //weka.ch um. Rufen Sie beziehungsweise Ihr Browser http: //weka.ch auf, kommt vom Server eine Antwort zurück, dass die Seite jetzt auf https: //weka.ch umgeleitet wird. Genau an dieser Stelle in der Kommunikation zwischen Client und Server liegt eine mögliche Gefahr: Die Anfragen Ihres Browsers könnten durch einen Hacker, der sich in den Datenstrom zwischen Ihren PC und den zu besuchenden Webserver einklinkt, manipuliert werden. Ein offenes WLAN wird hier gerne als Einfallstor genommen, beispielsweise in der Hotellounge mit dem formidablen Apéro, der Sie leider auch ein wenig Ihrer Aufmerksamkeit beraubt.

HSTS Header

Dieses Problem lässt sich durch ein recht einfaches Konstrukt lösen. Wenn eine Webseite per HTTP angesprochen wird, könnte ein Webserver, statt wie üblich mit einer Rückmeldung "Fehlernummer 301 - Seite ist umgezogen nach https: //weka.ch" zu antworten, schlicht den Aufruf der Seite per (unverschlüsseltem) HTTP verweigern. Dies wird per so genanntem HSTS Header Ihrem Browser zurückgegeben, wenn dieser versucht, Ihre Anfrage nach http: //weka. ch aufzulösen. Ihr Browser wird nun nur noch https: //weka. ch aufrufen - ganz gleich, mit welcher Hartnäckigkeit Sie http: //weka.ch in die Adresszeile eingeben. Mit anderen Worten: Sie sind bezogen auf die URL entmündigt, aber es dient eben Ihrem und dem Interesse der Sicherheit des gesamten Internets.

Dass das ganze nicht für die sprichwörtliche Katz ist, zeigen die andauernden erfolgreichen Angriffe auf IT-Systeme über das Einfallstor «Internetauftritt». Das ist auch nachvollziehbar, denn eine Webseite ist nun einmal an prominenter Stelle in einem Netzwerk verortet, steht also mit den entsprechenden Ports 80 und 443 ungeschützt im weltweiten Netz. Zwar lassen sich Application Level Gateways und ähnliche Mechanismen vorschalten, die sich zwischen Internet und Webserver legen und den Inhalt der Datenströme zu analysieren und schützen versuchen, aber das ist einerseits aufwendig und somit ausserhalb der Möglichkeiten der üblichen KMU-Webseitenbetreiber, und andererseits bietet eben auch das keine absolute Sicherheit.

Am sichersten wären natürlich eine Webseite und der darunter liegende Webserver, wenn diese aus dem Internet heraus überhaupt nicht erreichbar wären - kein Witz, schliesslich funktionieren ja viele Intranetseiten, interne webgestützte Dokumentations-Systeme und so weiter nur innerhalb eines lokalen Netzwerks. Sobald Sie aber den namensgebenden Teil Ihres Internetauftritts ernst nehmen, sollten Sie sich auch um die Sicherheit Ihrer Webseite kümmern. Sollte es nämlich einem Angreifer gelingen, über eine Sicherheitslücke Zugriff auf das System zu erlangen, ist oftmals nicht nur Ihre eigene Webseite betroffen, sondern alles weitere an Webseiten auf diesem Server. Eventuell wird sogar der die Webseiten beherbergende (hostende) Server betroffen, indem Schadcode in Datenbanken, PHP- oder andere Code oder sonstige Stellen des Betriebssystems gelangt.

Unterschiedlichste Webseiten werden auf ein und demselben Webserver betrieben

Heutzutage ist es nämlich üblich, viele unterschiedlichste Webseiten auf ein und demselben Webserver zu betreiben - ob es sich bei letzterem nun um den Internet Information Server (IIS) von Microsoft handelt oder um einen der Platzhirsche Apache und Nginx (letztere beiden vorrangig auf Linuxservern). Ein häufig auftretendes Problem sind auch Mailsysteme, die missbraucht werden - beispielsweise über massenhaften Spamversand aus dem Kontaktformular einer Webseite heraus. Der eigentlich stabil und sicher laufende Webserver nimmt die Mails an - schliesslich kommen sie ja aus einer lokalen, also prinzipiell vertrauenswürdigen Quelle -, schickt sie in die Weltgeschichte hinaus und landet dadurch auf schwarzen Listen anderer Mailserverbetreiber. Fortan ist kein regulärer Mailversand von diesem System aus mehr möglich, der Hoster hat den Schaden und der Kunde das Nachsehen. Wenn es ganz dumm für Sie läuft, sperrt der Webserverbetreiber Ihnen sogar den Zugang, um weiteren Schaden vom Gesamtsystem abzuwenden. Aber auch, wenn Sie die Server- und Netzstruktur selbst betreiben, könnte Ihnen eine Einschränkung Ihres Internetzugangs durch den Internetprovider drohen. Dieser wird nämlich von Organisationen wie beispielsweise dem CERT von dem Schadsoftware-Vorkommnis aus dem Ihnen zugedachten Adressbereich informiert und wird schnell darauf reagieren.

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden
Newsletter W+ abonnieren