Blog

HSTS-Liste schützt Firefox ab Version 17 vor Man-in-the-Middle-Attacken

Verfasst von: Sören Hentzschel

HSTS-Liste schützt Firefox ab Version 17 vor Man-in-the-Middle-Attacken

Mozilla hat in Firefox eine Liste von HSTS-Hosts implementiert und verbessert damit den Schutz der Benutzer vor Man-in-the-Middle-Attacken.

Bei HSTS (HTTP Strict Transport Security) handelt es sich um einen Mechanisus, durch welchen der Server signalisieren kann, dass der Browser eine sichere Verbindung über HTTPS benutzen muss, um mit diesem zu kommunizieren. Damit sollen sich Nutzer vor sogenannten Man-in-the-middle-Attacken schützen lassen, bei welchen der Datenstrom im Klartext mitgelesen und unter Umständen sogar manipuliert werden kann.

Das Problem bei HSTS ist, dass der Browser bei der ersten Verbindung zu einem HSTS-Host noch gar nicht weiß, ob er eine verschlüsselte oder eine unverschlüsselte Verbindung benutzen soll, da er noch keinen HSTS-Header vom Server empfangen hat, und die Benutzer häufig einfach die HTTP-Version der entsprechenden Seite ansteuern. Ein Angreifer könnte den Browser also einfach daran hindern, überhaupt jemals eine sichere Verbindung aufzubauen und dieser Schutz wäre wirkungslos.

Aus diesem Grund hat Mozilla eine Liste von Hosts direkt in Firefox implementiert, bei welchen Firefox standardmäßig HSTS nutzt. Verbindet sich der Nutzer zum ersten mal zu einer dieser Seiten, weiß Firefox direkt, dass eine gesicherte Verbindung erfordert wird. Andernfalls wird Firefox die Verbindung verweigern.

Mozilla bedient sich hierbei der HSTS-Liste aus Chrome, welcher seit einigen Monaten eine solche Funktion besitzt. Dabei wurden aber nur Seiten in die Liste aufgenommen, deren HSTS-Header eine Gültigkeitsdauer von mindestens 18 Wochen festlegt. Empfängt Firefox einen Header mit einem max-age von 0, zum Beispiel weil eine solche Domain den Besitzer wechselt und der neue Besitzer beschließt, nicht länger auf HSTS zu setzen, wird ein Knockout-Eintrag gespeichert, welcher den Eintrag in der HSTS-Hosts-Liste überschreibt.

Das Feature ist bereits Bestandteil der aktuellen Beta-Version von Firefox 17, welcher voraussichtlich am 20. November in der finalen Version erscheinen wird.

Nach diesen Begriffen suchten die Benutzer:

  • hsts fehler
  • hsts fehler
  • firefox weiß nicht wie mit dem server kommuniziert werden soll
  • firefox liste sichere seiten
  • http strict transport security (hsts) addon disable
  • firefox https finder
  • where hsts firefox
  • firefox 21 hsts
  • HSTS-Liste
  • firefox hsts hosts
  • firefox hsts hosts
  • chrome hsts hosts
  • sichere verbindung mit hsts
  • hsts liste firefox
  • seit 17 firefox chrome liste https
  • ff19 kommuniziert
  • firefox gegen änderungen schützen
  • hsts-schutz
  • hsts hosts firefox
  • hsts liste
  • firefox versionen liste
  • firefox versionen liste
  • firefox hosts
  • hsts schützt
  • wie schütz man sich gegen mitm
5


Kommentare

  1. Hubertus  09. November 2012, 10:07

    Hallo Sören,

    bedeutet dies, daß die entsprechenden Firefox Erweiterungen wie z.B. HTTPS Everywhere; HTTPS Finder damit überflüssig sind oder sich sogar gegenseitig behindern?

  2. Sören Hentzschel  09. November 2012, 12:26

    Hallo,

    im Prinzip wird das damit überflüssig, wobei in Firefox eine feste Liste implementiert ist, während man bei HTTPS Everywhere wohl eigene Regeln erstellen kann, womit sich die Datensätze beider Lösungen wahrscheinlich teilweise überschneiden, teilweise aber auch unterschiedlich sind. Die Liste der Seiten der Mozilla-Lösung ist weiter oben verlinkt, was HTTPS Everywhere standardmäßig macht, kann ich nicht sagen. Behindern sollten sich beide Dinge aber nicht gegenseitig.

Kommentar hinzufügen

E-Mail-Benachrichtigung bei weiteren Kommentaren.