HSTS-Liste schützt Firefox ab Version 17 vor Man-in-the-Middle-Attacken
Mozilla hat in Firefox eine Liste von HSTS-Hosts implementiert und verbessert damit den Schutz der Benutzer vor Man-in-the-Middle-Attacken.
Bei HSTS (HTTP Strict Transport Security) handelt es sich um einen Mechanisus, durch welchen der Server signalisieren kann, dass der Browser eine sichere Verbindung über HTTPS benutzen muss, um mit diesem zu kommunizieren. Damit sollen sich Nutzer vor sogenannten Man-in-the-middle-Attacken schützen lassen, bei welchen der Datenstrom im Klartext mitgelesen und unter Umständen sogar manipuliert werden kann.
Das Problem bei HSTS ist, dass der Browser bei der ersten Verbindung zu einem HSTS-Host noch gar nicht weiß, ob er eine verschlüsselte oder eine unverschlüsselte Verbindung benutzen soll, da er noch keinen HSTS-Header vom Server empfangen hat, und die Benutzer häufig einfach die HTTP-Version der entsprechenden Seite ansteuern. Ein Angreifer könnte den Browser also einfach daran hindern, überhaupt jemals eine sichere Verbindung aufzubauen und dieser Schutz wäre wirkungslos.
Aus diesem Grund hat Mozilla eine Liste von Hosts direkt in Firefox implementiert, bei welchen Firefox standardmäßig HSTS nutzt. Verbindet sich der Nutzer zum ersten mal zu einer dieser Seiten, weiß Firefox direkt, dass eine gesicherte Verbindung erfordert wird. Andernfalls wird Firefox die Verbindung verweigern.
Mozilla bedient sich hierbei der HSTS-Liste aus Chrome, welcher seit einigen Monaten eine solche Funktion besitzt. Dabei wurden aber nur Seiten in die Liste aufgenommen, deren HSTS-Header eine Gültigkeitsdauer von mindestens 18 Wochen festlegt. Empfängt Firefox einen Header mit einem max-age von 0, zum Beispiel weil eine solche Domain den Besitzer wechselt und der neue Besitzer beschließt, nicht länger auf HSTS zu setzen, wird ein Knockout-Eintrag gespeichert, welcher den Eintrag in der HSTS-Hosts-Liste überschreibt.
Das Feature ist bereits Bestandteil der aktuellen Beta-Version von Firefox 17, welcher voraussichtlich am 20. November in der finalen Version erscheinen wird.
Weitere aktuelle Artikel aus der Kategorie „Firefox“
- 24.09.2024Neue Sprachen für Übersetzungsfunktion von Firefox
- 23.09.2024Firefox 132: Tabs auf anderen Geräten schließen
- 22.09.2024Neue Hoffnung für Unterstützung von Bildformat JPEG-XL (JXL) in Firefox und Chrome
- 17.09.2024Mozilla veröffentlicht Firefox 130.0.1
- 08.09.2024Firefox: Unterstützung für veraltete Betriebssysteme bis März 2025 verlängert
Hallo Sören,
bedeutet dies, daß die entsprechenden Firefox Erweiterungen wie z.B. HTTPS Everywhere; HTTPS Finder damit überflüssig sind oder sich sogar gegenseitig behindern?
Hallo,
im Prinzip wird das damit überflüssig, wobei in Firefox eine feste Liste implementiert ist, während man bei HTTPS Everywhere wohl eigene Regeln erstellen kann, womit sich die Datensätze beider Lösungen wahrscheinlich teilweise überschneiden, teilweise aber auch unterschiedlich sind. Die Liste der Seiten der Mozilla-Lösung ist weiter oben verlinkt, was HTTPS Everywhere standardmäßig macht, kann ich nicht sagen. Behindern sollten sich beide Dinge aber nicht gegenseitig.