Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPOXY: Gefährliche Proxy-Variablen

Wie hilft https?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie hilft https?

    Autor: hackie 19.07.16 - 12:59

    > HTTPS hilft
    >
    > Einen gewissen Schutz vor der Lücke bietet der konsequente Einsatz von HTTPS. Wird von einer Webanwendung ein Request an eine HTTPS-Adresse geschickt, kann ein Angreifer diese zwar möglicherweise ebenfalls über seinen Proxy leiten, aber mitlesen oder manipulieren ist dann nicht möglich. Voraussetzung dafür ist allerdings, dass das HTTPS-Zertifikat korrekt geprüft wird.

    Falls der Server auch bei https-Requests die Variable HTTP_PROXY verwendet, ist die Sicherheite gleich Null. Es ist zwar so, dass der Proxy selbst in diesem Fall per CONNECT angesprochen wird, er also angewiesen wird, die Verbindung 1:1 (und verschlüsselt) weiterzuleiten. Aber da der Proxy im Fall eines Angriffs in der Hand des Angreifers ist, kann er die Verbindung auch gleich öffnen und sich als Endpunkt hinter dem Proxy ausgeben, oder aber er stellt den Proxy einfach per Konfiguration oder Hosts-Liste so um, dass die Weiterleitung an seinen eigenen Server erfolgt.

    Erkennen könnte das der Server zwar, denn das Zertifikat des Servers weicht in diesem Fall klar vom richtigen Server ab, aber mal ehrlich: Die Implementierungen, die bei einem Request das Zertifikat der Gegenseite prüfen, findet sich vermutlich im Promillebereich, denn dafür müsste man das Zertifikat des Servers im Client (in diesem Fall beim Application Server) ablegen, und das tut niemand.

    Spätestens dann, wenn der "Ersatz-Server" also ein gültiges Letsencrypt-Zertifikat aufweist, ist es definitiv vorbei mit der zusätzlichen Sicherheit - vorausgesetzt, HTTP_PROXY wird auch tatsächlich ausgewertet

  2. Re: Wie hilft https?

    Autor: Trollmagnet 19.07.16 - 13:17

    hackie schrieb:
    --------------------------------------------------------------------------------
    > Spätestens dann, wenn der "Ersatz-Server" also ein gültiges
    > Letsencrypt-Zertifikat aufweist, ist es definitiv vorbei mit der
    > zusätzlichen Sicherheit - vorausgesetzt, HTTP_PROXY wird auch tatsächlich
    > ausgewertet

    Und wie kommt der Angreifer an ein gültiges Zertifikat für die angesprochene Domain?


    Korrektur:

    Ich sollte nachdenken und erst dann posten. Die HTTPS-Verbindung endet beim Proxy und der Proxy stellt eine neue HTTPS-Verbindung zur eigentlichen Domain her.

    Du hast Recht, HTTPS bringt nichts.



    1 mal bearbeitet, zuletzt am 19.07.16 13:30 durch Trollmagnet.

  3. Re: Wie hilft https?

    Autor: nicoledos 19.07.16 - 14:15

    Dann musst du aber das root-Zertifikat vom Proxy dem Client unterschieben, wie es diverse Sicherheitslösungen machen. Dann hat man aber sowieso bereits verloren.

  4. Re: Wie hilft https?

    Autor: Trollmagnet 19.07.16 - 15:10

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > Dann musst du aber das root-Zertifikat vom Proxy dem Client unterschieben,
    > wie es diverse Sicherheitslösungen machen. Dann hat man aber sowieso
    > bereits verloren.

    Nach nochmaliger Überlegung muss ich zustimmen. Meine erste Vermutung war richtig. Die Frage bleibt: Wie kommt der Angreifer an ein gültiges Zertifikat für die angesprochene Domain? Das geht eben nur, wenn der Client dem Proxy als Zertifizierungsstelle vertraut oder anderweitig falsch konfiguriert ist - z.B. den Common Name ignoriert.

    Korrekt konfiguriertes HTTPS stellt sicher, dass man mit dem gewünschten Endpunkt spricht, ungeachtet ob ein vom Client direkt angesprochener Proxy dazwischen liegt.

  5. Re: Wie hilft https?

    Autor: hackie 19.07.16 - 22:14

    Hast recht. Das Zertifikat muss natürlich noch immer den korrekten Namen tragen, das kam mir in dem Moment nicht in den Sinn. Und trotzdem: In vielen Fällen dürfte sich der angesprochene Server im lokalen Netz befinden, ohne offizielle IP bzw. Hostname. Wenn der Admin zu denen gehört, die keine eigene CA verwalten (wie es z.B. in vielen Kleinfirmen mangels Knowhow, Prioritäten und Zeit der Fall ist), dann ist die Sicherheitsprüfung nur schon deshalb ausgeschaltet, damit der (geplante) Normalfall funktioniert. Oder man hatte mal ein Problem, schaltete die Sicherheit aus, und später nach Auffinden der eigentlichen Ursache lässt man es so wie es ist, weil alles andere weitere Arbeit bedeutet. Solche Dinge sehe ich leider öfters als mir lieb wäre.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Cegeka Deutschland GmbH, Flughafen Frankfurt
  2. Klöckner Pentaplast GmbH, Montabaur
  3. Landesamt für Steuern Niedersachsen, Hannover
  4. Berliner Wasserbetriebe, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Conan Exiles 12,99€, PSN Card 25 Euro für 21,99€)
  2. 229,99€
  3. 5,55€
  4. (u. a. GRAND THEFT AUTO V: PREMIUM ONLINE EDITION 13,99€, Shadows: Awakening 12,50€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  3. Software-Entwickler Welche Programmiersprache soll ich lernen?

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


    1. Airseas: Reederei stattet Schiff mit Kite von Airbus-Tochter aus
      Airseas
      Reederei stattet Schiff mit Kite von Airbus-Tochter aus

      Wenn der Wind zieht, soll das Schiff weniger Treibstoff verbrauchen und weniger Schadstoffe emittieren: Die japanische Reederei K-Line testet einen Windhilfsantrieb an einem ihrer Schiffe. Das Segel hat eine Airbus-Ausgründung entworfen.

    2. Pokémon Go mit Harry Potter: Wir machen Handy-Jagd auf Dementoren in Wizards Unite
      Pokémon Go mit Harry Potter
      Wir machen Handy-Jagd auf Dementoren in Wizards Unite

      Expelliarmus! Mit Smartphone statt Zauberstab kämpfen wir Muggel in der Welt des Harry Potter. Golem.de hat Wizards Unite, hinter dem die Entwickler von Pokémon Go stecken, ausführlich ausprobiert und zeigt echtes Gameplay im Video.

    3. Thüringen: Mehr unangekündigte Datenschutzkontrollen in Unternehmen
      Thüringen
      Mehr unangekündigte Datenschutzkontrollen in Unternehmen

      Bei der Vorstellung seines Tätigkeitsberichtes kündigte der Datenschutzbeauftragte aus Thüringen an, Unternehmen stärker zu kontrollieren - auch unangekündigt. Zur Not werde er sich mit Hilfe der Polizei Zugang verschaffen.


    1. 15:41

    2. 15:08

    3. 15:01

    4. 15:00

    5. 13:50

    6. 12:45

    7. 12:20

    8. 11:49