5 Reaktionen

HSTS-Liste schützt Firefox ab Version 17 vor Man-in-the-Middle-Attacken

Geschätzte Lesedauer:

Mozilla hat in Firefox eine Liste von HSTS-Hosts implementiert und verbessert damit den Schutz der Benutzer vor Man-in-the-Middle-Attacken.

Bei HSTS (HTTP Strict Transport Security) handelt es sich um einen Mechanisus, durch welchen der Server signalisieren kann, dass der Browser eine sichere Verbindung über HTTPS benutzen muss, um mit diesem zu kommunizieren. Damit sollen sich Nutzer vor sogenannten Man-in-the-middle-Attacken schützen lassen, bei welchen der Datenstrom im Klartext mitgelesen und unter Umständen sogar manipuliert werden kann.

Das Problem bei HSTS ist, dass der Browser bei der ersten Verbindung zu einem HSTS-Host noch gar nicht weiß, ob er eine verschlüsselte oder eine unverschlüsselte Verbindung benutzen soll, da er noch keinen HSTS-Header vom Server empfangen hat, und die Benutzer häufig einfach die HTTP-Version der entsprechenden Seite ansteuern. Ein Angreifer könnte den Browser also einfach daran hindern, überhaupt jemals eine sichere Verbindung aufzubauen und dieser Schutz wäre wirkungslos.

Aus diesem Grund hat Mozilla eine Liste von Hosts direkt in Firefox implementiert, bei welchen Firefox standardmäßig HSTS nutzt. Verbindet sich der Nutzer zum ersten mal zu einer dieser Seiten, weiß Firefox direkt, dass eine gesicherte Verbindung erfordert wird. Andernfalls wird Firefox die Verbindung verweigern.

Mozilla bedient sich hierbei der HSTS-Liste aus Chrome, welcher seit einigen Monaten eine solche Funktion besitzt. Dabei wurden aber nur Seiten in die Liste aufgenommen, deren HSTS-Header eine Gültigkeitsdauer von mindestens 18 Wochen festlegt. Empfängt Firefox einen Header mit einem max-age von 0, zum Beispiel weil eine solche Domain den Besitzer wechselt und der neue Besitzer beschließt, nicht länger auf HSTS zu setzen, wird ein Knockout-Eintrag gespeichert, welcher den Eintrag in der HSTS-Hosts-Liste überschreibt.

Das Feature ist bereits Bestandteil der aktuellen Beta-Version von Firefox 17, welcher voraussichtlich am 20. November in der finalen Version erscheinen wird.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

2 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Hubertus
    schrieb am :

    Hallo Sören,

    bedeutet dies, daß die entsprechenden Firefox Erweiterungen wie z.B. HTTPS Everywhere; HTTPS Finder damit überflüssig sind oder sich sogar gegenseitig behindern?

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Hallo,

    im Prinzip wird das damit überflüssig, wobei in Firefox eine feste Liste implementiert ist, während man bei HTTPS Everywhere wohl eigene Regeln erstellen kann, womit sich die Datensätze beider Lösungen wahrscheinlich teilweise überschneiden, teilweise aber auch unterschiedlich sind. Die Liste der Seiten der Mozilla-Lösung ist weiter oben verlinkt, was HTTPS Everywhere standardmäßig macht, kann ich nicht sagen. Behindern sollten sich beide Dinge aber nicht gegenseitig.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.