1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › HSTS: Google führt Liste von…

Ich verstehe das Problem nicht

  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Ich verstehe das Problem nicht

    Autor: picaschaf 12.08.14 - 20:20

    Wenn ich eine Website ausschließlich über HTTPS veröffentlichen möchte, dann komfiguriere ich den Server einfach so, dass er keinen vhost mit HTTP auf Port 80 startet. Oder habe ich etwas übersehen?

  2. Re: Ich verstehe das Problem nicht

    Autor: RipClaw 12.08.14 - 20:23

    picaschaf schrieb:
    --------------------------------------------------------------------------------
    > Wenn ich eine Website ausschließlich über HTTPS veröffentlichen möchte,
    > dann komfiguriere ich den Server einfach so, dass er keinen vhost mit HTTP
    > auf Port 80 startet. Oder habe ich etwas übersehen?

    Im Prinzip hast du recht aber von Haus aus macht jeder Browser bei Eingabe der URL erst mal eine HTTP Verbindung auf. Nur wenn du https:// explizit angibst, oder diese so verlinkt wurde, wird er nur eine HTTPS Verbindung aufmachen.

  3. Re: Ich verstehe das Problem nicht

    Autor: Anonymer Nutzer 12.08.14 - 20:48

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Im Prinzip hast du recht aber von Haus aus macht jeder Browser bei Eingabe
    > der URL erst mal eine HTTP Verbindung auf. Nur wenn du https:// explizit
    > angibst, oder diese so verlinkt wurde, wird er nur eine HTTPS Verbindung
    > aufmachen.

    Naja mit einem simplen Rewrite Rule kann man serverseitig auch alle eingehenden HTTP Verbindungen auf HTTPS umleiten.

  4. Re: Ich verstehe das Problem nicht

    Autor: grorg 12.08.14 - 21:05

    lolig schrieb:
    --------------------------------------------------------------------------------
    > Naja mit einem simplen Rewrite Rule kann man serverseitig auch alle
    > eingehenden HTTP Verbindungen auf HTTPS umleiten.
    Da will ich mich aber nicht wirklich auf den Server verlassen müssen ...

  5. Re: Ich verstehe das Problem nicht

    Autor: Anonymer Nutzer 12.08.14 - 21:10

    grorg schrieb:
    --------------------------------------------------------------------------------
    > Da will ich mich aber nicht wirklich auf den Server verlassen müssen ...

    Muss man das bei HSTS nicht auch? So wie ich das verstehe muss der Webserver das auch unterstützen.

  6. Re: Ich verstehe das Problem nicht

    Autor: fuzzy 12.08.14 - 21:54

    Die Idee an diesem Flag ist, deinen Browser wissen zu lassen, dass die Seite über HTTPS zu kommen hat. Ohne diesen Hinweis könnte ein unbedarfter Benutzer nun die Seite aufrufen, ohne HTTPS davorzuschreiben, und dabei einer MITM-Attacke Tür und Tor öffnen. Die MITM-Zwischenstation ist dabei der „benutzerseitige“ Endpunkt der verschlüsselten Verbindung. Der Benutzer bekommt davon aber nix mit. Der Browser weiß auch nichts.

    Im übrigen gibt es vermutlich keine Seite, die keine Umleitung zu HTTPS ausliefert. Weil das einfach ungemütlich ist. Der Benutzer sieht sonst nur die „Connection refused“-Meldung und wundert sich, was los ist.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  7. Re: Ich verstehe das Problem nicht

    Autor: elf 12.08.14 - 22:15

    lolig schrieb:
    --------------------------------------------------------------------------------
    > grorg schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Da will ich mich aber nicht wirklich auf den Server verlassen müssen ...
    >
    > Muss man das bei HSTS nicht auch? So wie ich das verstehe muss der
    > Webserver das auch unterstützen.

    Schon richtig. Wenn aber in Chrome fest hinterlegt ist, dass diese Webseite ihre Inhalte ausschließlich per https anbietet, dann baut Chrome erst gar keine HTTP-Verbindung auf. DAS ist die Neuerung, dass Chrome eine interne Liste über Webserver führt, die ausschließlich https sprechen wollen.

  8. Re: Ich verstehe das Problem nicht

    Autor: PHPGangsta 12.08.14 - 23:28

    elf schrieb:
    --------------------------------------------------------------------------------
    > Schon richtig. Wenn aber in Chrome fest hinterlegt ist, dass diese Webseite
    > ihre Inhalte ausschließlich per https anbietet, dann baut Chrome erst gar
    > keine HTTP-Verbindung auf. DAS ist die Neuerung, dass Chrome eine interne
    > Liste über Webserver führt, die ausschließlich https sprechen wollen.

    Das ist keine Neuerung, das Feature gibt es bereits seit April 2012 in Chrome (und auch in Firefox). Siehe:
    http://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json
    http://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json?view=log

    Neu ist das nicht (aber trotzdem erwähnenswert!)

  9. Re: Ich verstehe das Problem nicht

    Autor: anybody 13.08.14 - 02:18

    Das Problem ist, das wenn du über einen nicht-vertrauenswürdigen Internetzugang im Internet bist ein zwischengeschalteter Router/Transparent Proxy Dir sowas einfach rausfiltern kann.

    Du gehst also auf http://gmail.com und der Proxy dazwischen connected für dich zu https://gmail.com ohne das du es merkst.

    Dann wirst du nicht auf https:// weitergeleitet und die einzigste Chance die du hast wäre explizit beim Eingeben der URL schon darauf zu achten das https:// davor steht...

    picaschaf schrieb:
    --------------------------------------------------------------------------------
    > Wenn ich eine Website ausschließlich über HTTPS veröffentlichen möchte,
    > dann komfiguriere ich den Server einfach so, dass er keinen vhost mit HTTP
    > auf Port 80 startet. Oder habe ich etwas übersehen?

  10. Re: Ich verstehe das Problem nicht

    Autor: __destruct() 13.08.14 - 03:44

    Siehe 2. Absatz des Artikels (ohne Einleitung).

  11. Re: Ich verstehe das Problem nicht

    Autor: picaschaf 13.08.14 - 08:50

    Daran hatte ich gar nicht gedacht, recht fies das Ganze. Wäre eine selbstverpflichtung der Browser zuerst HTTPS zu versuchen da aber nicht sinnvoller wenn sich die anderen techniker offenbar so einfach aushebeln lassen?

  12. Re: Ich verstehe das Problem nicht

    Autor: anybody 13.08.14 - 08:59

    Das würde riesige Probleme schaffen
    a) jeder Verbindungsaufbau zu einer non-https Seite wäre deutlich langsamer weil erstmal (lang) gewartet wird ob es nicht eine Antwort per https gibt
    b) bei Seiten wo unter der selben IP noch ein https läuft wird oft ein Zertifikatsfehler kommen weil das Zertifikat zu ner anderen (sub)domain gehört - das dürfte verdammt oft vorkommen

    und es würde absolut kein einzigstes Problem lösen, denn wenn du in einem nicht-vertrauenswürdigen WLAN bist, wird dann halt einfach die https verbindung blockiert, dein browser macht Fallback auf http und schon kann der WLAN Betreiber wieder alles mitlesen.

    > Daran hatte ich gar nicht gedacht, recht fies das Ganze. Wäre eine
    > selbstverpflichtung der Browser zuerst HTTPS zu versuchen da aber nicht
    > sinnvoller wenn sich die anderen techniker offenbar so einfach aushebeln
    > lassen?

  13. Re: Ich verstehe das Problem nicht

    Autor: elf 13.08.14 - 09:00

    picaschaf schrieb:
    --------------------------------------------------------------------------------
    > Daran hatte ich gar nicht gedacht, recht fies das Ganze. Wäre eine
    > selbstverpflichtung der Browser zuerst HTTPS zu versuchen da aber nicht
    > sinnvoller wenn sich die anderen techniker offenbar so einfach aushebeln
    > lassen?

    Und wenn keine https-Verbindung zustande kommt ein Fallback auf http? Dann bietet ein MITM eben kein https an.
    Das Ganze macht nur Sinn, wenn der Browser weiß, dass diese Seite NUR über https erreichbar ist.
    Mit HSTS weiß er das zwar erst nach dem Ersten korrekten Aufruf dieser Seite. Dafür dann aber für die Zukunft immer.

  14. Re: Ich verstehe das Problem nicht

    Autor: Netspy 13.08.14 - 09:26

    lolig schrieb:
    --------------------------------------------------------------------------------
    >
    > Naja mit einem simplen Rewrite Rule kann man serverseitig auch alle
    > eingehenden HTTP Verbindungen auf HTTPS umleiten.

    Wenn gar kein vhost auf Port 80 lauscht, dann kannst du auch nicht mit mod_rewrite umleiten. Außerdem ist im Artikel ein Sicherheitsproblem mit der Umleitung beschrieben.

  15. Re: Ich verstehe das Problem nicht

    Autor: Anonymer Nutzer 13.08.14 - 09:50

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > lolig schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > >
    > > Naja mit einem simplen Rewrite Rule kann man serverseitig auch alle
    > > eingehenden HTTP Verbindungen auf HTTPS umleiten.
    >
    > Wenn gar kein vhost auf Port 80 lauscht, dann kannst du auch nicht mit
    > mod_rewrite umleiten. Außerdem ist im Artikel ein Sicherheitsproblem mit
    > der Umleitung beschrieben.

    Und was soll bei HSTS passieren wenn der Client beim ersten Aufruf der Webseite HTTP eingibt und nichts auf Port 80 lauscht?

    So wie ich das System verstehe wird dem Client erst beim ersten Aufruf der Webseite via Header Strict-Transport-Security: max-age=<Zeitraum> mitgeteilt das er die Seite immer mit HTTPS aufrufen kann/soll.

  16. Re: Ich verstehe das Problem nicht

    Autor: Netspy 13.08.14 - 09:58

    Port 80 komplett zu deaktivieren, ist halt ganz einfach keine Lösung. Mehr wollte ich nicht sagen und habe mich auf den Ausgangspost bezogen, bei dem mod_rewrite eben nicht funktioniert.

  17. Re: Ich verstehe das Problem nicht

    Autor: Anonymer Nutzer 13.08.14 - 12:12

    elf schrieb:

    > Mit HSTS weiß er das zwar erst nach dem Ersten korrekten Aufruf dieser
    > Seite. Dafür dann aber für die Zukunft immer.

    Nicht für immer, sondern z. B. für

    max-age=31536000

    Sekunden. Die Zahl kann der Server-Betreiber in der Apache-Konfiguration einstellen. Um das HSTS-Flag in Browsern zu löschen, kann man eine ganz kleine Zeit (z. B. 10 s) einstellen und die Seiten dann mit dem Browser aufrufen (Nützlich für Testzwecke).

  18. Re: Ich verstehe das Problem nicht

    Autor: fuzzy 15.08.14 - 21:39

    Ein Browser probiert nur genau das, was eingegeben ist. Wenn du vergisst „https” davor zu schreiben und keine explizite Weiterleitung angeboten wird, lächelt dir wenige Sekunden später eine „Seite nicht erreichbar“-Meldung deines Browsers entgegen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  19. Re: Ich verstehe das Problem nicht

    Autor: __destruct() 15.08.14 - 21:48



    Du weil überhaupt http und so sollten wissen was nicht beleidigen nein nicht aber das doch auch https genauso du sollten wissen weil logisch und so.

    Der Browser versucht es bei fehlender Protokoll-Angabe einfach mit dem Default-Protokoll.

  20. Re: Ich verstehe das Problem nicht

    Autor: fuzzy 16.08.14 - 12:00

    Ja. Und wann fehlt die Protokollangabe? Wenn man „www.google.com” eingibt. Was probiert er dann? Richtig, HTTP. Was aber wenn Google nun keine Weiterleitung auf HTTPS anbietet? Ja genau, man bekommt besagte Fehlermeldung.

    Umgekehrt genauso: Wenn du versuchst, HTTPS anzusurfen, fehlt die Protokollangabe nicht. Folglich wirst du auch da besagte Fehlermeldung bekommen, wenn kein HTTPS angeboten wird.

    Was also ist dein Problem? Nur mal n bisschen rumstänkern wollen?

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Systemadministrator (m/w/d)
    Kommunaler Versorgungsverband Baden-Württemberg, Karlsruhe
  2. Resident Engineer (m/w/d)
    Delta Energy Systems (Germany) GmbH, Großraum Stuttgart
  3. Mitarbeiter (m/w/d) für IT-Consulting
    ProSoft GmbH, Geretsried
  4. Prozessmanager (m/w/d) Unternehmensentwicklung
    VGH Versicherungen, Hannover

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 219,99€ (mit Vorbesteller-Preisgarantie)
  2. basierend auf Verkaufszahlen
  3. basierend auf Verkaufszahlen


Haben wir etwas übersehen?

E-Mail an news@golem.de


Disney+, Netflix und Prime Video: Das goldene Streamingzeitalter wird zum silbernen
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen

Das aktuelle Jahr hat viele Umbrüche im Streamingmarkt erlebt - und nächstes Jahr geht es weiter. Das wird negative Auswirkungen für Anbieter und Kunden haben.
Eine Analyse von Ingo Pakalski

  1. Netflix-Datenschatz Serien laufen erfolgreich und werden trotzdem eingestellt
  2. Streaming Apple und Paramount könnten Streamingdienste bündeln
  3. Streamingabo Arthaus+ erstmals als App für 3,99 Euro pro Monat

Teil 2 unseres Tutorials: Objekte und Variablen in Powershell
Teil 2 unseres Tutorials
Objekte und Variablen in Powershell

Powershell-Tutorial
In unserer Powershell-Einführung mit Übungsblöcken und Lösungsvideos beschäftigen wir uns dieses Mal mit Objekten und Variablen.
Eine Anleitung von Holger Voges

  1. Mit praktischen Übungen und Videos Powershell für Einsteiger - Teil 1

Powerstream-Wechselrichter: Mein Balkonkraftwerk, mein Strom
Powerstream-Wechselrichter
Mein Balkonkraftwerk, mein Strom

Mit dem Powerstream-Wechselrichter hat Ecoflow ein Gerät, das verschiedene Powerstationen des Herstellers als Energiespeicher nutzen kann. Wie gut das funktioniert und wie wirtschaftlich es ist, haben wir ein halbes Jahr lang getestet.
Von Mario Keller

  1. Erleichterungen bei Balkonkraftwerken Bundestag tritt bei Solarpaket auf die Bremse
  2. Juristisches Gutachten Wer haftet bei Schäden durch ein Balkonkraftwerk?
  3. Eigentümer und Mieter Anspruch auf Balkonkraftwerke kommt im Frühjahr 2024