Quelle: dotnetpro
HTTPS erzwingen 13.02.2023, 00:00 Uhr

Sicherheitsweste

HTTPS ist Ende-zu-Ende-verschlüsselt – Grund genug, dafür zu sorgen, dass es auch zum Einsatz kommt.
Der Softwareentwickler Eric Butler hielt zusammen mit dem Sicherheitsberater Ian Gallagher im Oktober 2010 einen Vortrag auf der Sicherheitskonferenz ToorCon [1] – übrigens eine geschichtsträchtige Veranstaltung, denn am Tag vor der Session der beiden stellte Samy Kamkar seinen legendären CSRF-Angriff gegen MySpace vor. Aber zurück zum Team Butler/Gallagher: Teil des Vortrags war ein vom Erstgenannten erstelltes Plug-in für den Firefox-Browser namens Fire­sheep [2]. Dieses fängt WLAN-Verbindungsdaten ab, unter Windows mit Unterstützung des mittlerweile nicht mehr unterstützten Projekts WinPcap [3]. Dabei sucht es nach ganz bestimmten Mustern, nämlich nach den Session-Cookies populärer Mail- und Social-Media-Dienste, beispielsweise Facebook, Twitter, Google Mail und viele andere. Diese wurden im Plug-in schön übersichtlich angezeigt – Butlers Blogeintrag [4] zum Plug-in enthält Screenshots. Ein Doppelklick schließlich loggte den Browser bei dem jeweiligen Dienst ein – mit der frisch geklauten Session-ID! Ein Hit in öffentlichen WLANs.
Der durch Firesheep durchgeführte Angriff ist offenkundig Session Hijacking: Eine Session wird dabei „entführt“. Das ist die Krux am Session-Konzept für Webanwendungen: Ist die Session-ID weg, ist auch die Session weg, denn eben die ID ist die einzige Information, anhand derer eine Webanwendung die aktuell eingeloggte Person erkennen kann. Butler und Gallagher richteten in ihrem Vortrag ihre Hauptkritik an die angegriffenen Webanwendungen. Diese setzten nämlich seinerzeit noch größtenteils HTTP ein, nur sehr vereinzelt HTTPS. Im Gegensatz zu HTTP setzt HTTPS auf Ende-zu-­Ende-Verschlüsselung: Client und Server vereinbaren die Details (per HTTP-Methode CONNECT), die komplette Kommunikation danach ist für Außenstehende nicht decodierbar. Alles, was in einem öffentlichen WLAN per HTTP übertragen wird, ist – zumindest in der Theorie – einsehbar.

Jetzt 1 Monat kostenlos testen!

Sie wollen zukünftig auch von den Vorteilen eines plus-Abos profitieren? Werden Sie jetzt dotnetpro-plus-Kunde.
  • + Digitales Kundenkonto,
  • + Zugriff auf das digitale Heft,
  • + Zugang zum digitalen Heftarchiv,
  • + Auf Wunsch: Weekly Newsletter,
  • + Sämtliche Codebeispiele im digitalen Heftarchiv verfügbar