World Wide Web Techniken: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Tina (Diskussion | Beiträge) |
Tina (Diskussion | Beiträge) |
||
| Zeile 29: | Zeile 29: | ||
* Einsatz zum Beispiel beim Warenkorb von Online Shops | * Einsatz zum Beispiel beim Warenkorb von Online Shops | ||
==Session Hijacking== | ==Session Hijacking== | ||
| + | * Entführen der Session und zu Erlangen der Vertrauensstellung | ||
| + | * Zuerst passives Sniffing der Kommunikation. (Bei HTTP Verkehr direkter Zugriff auf Physical Layer oder Man-in-the-Middle-Attack; bei HTTPS Verkehr muss die Verschlüsselung zunächst aufgebrochen werden.) | ||
| + | # Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender. | ||
==Session Fixation== | ==Session Fixation== | ||
Version vom 7. Oktober 2020, 14:03 Uhr
HTTP, HTTPS, HTTP-Header, Referrer
HTTP
- Hypertext Transfer Protocol
- Zustandsloses Protokoll zur Datenübertragung in Netzen.
- Wird hauptsächlich eingesetzt um Websites in einen Webbrowser zu laden.
- Client Server Modell
HTTPS
- Hypertext Transfer Protocol Secure
- Erweiterung von HTTP so dass Daten verschlüsselt zwischen Client und Server übertragen werden.
- Ende-zu-Ende-Verschlüsselung und Authentifizierung.
- Hinzufügen einer Schicht zwischen HTTP und TCP
- Verhinderung von Phishing Attacken und Man-in-the-Middle-Angriffe.
HTTP-Header
- Bestandteile der HTTP-Protokollheaders
- Erlauben die Übergabe zusätzlicher Informationen bei einer Anfrage (Client) oder einer Antwort (Server).
- Syntax: Name und durch einen Doppelpunkt getrennter Wert. Beispiel -> Accept-Language: *
- Duch Einsatz spezieller Header läßt sich die Sicherheit von Websites erhöhen. (zum Beispiel Festlegung, dass die Seite nur per HTTPS aufgerufen werden darf)
Referrer
- HTTP-Header der als Wert die URL der vorher besuchten Webseite enthält.
- Kann zu Analysezwecken und Logging benutzt werden.
- Kann für den Nutzer die unerwünschte Freigabe von Informationen bedeuten.
- Kann ein Sicherheitsproblem sein.
- Beispiel Reset-Password-Page mit Link weitere Seite (über angezeigte Werbung oder Social Media Links)
Sessions, Coockies, Aktive Inhalte
Sessions
- Behebung des Problems der Zustandslosigkeit des HTTP Protokolls.
- Anhand der eindeutigen Session-ID können einem Client Daten über den Verlauf mehrerer Anfragen zugeordnet werden.
- Speicherung der Sessiondaten Serverseitig
- Einsatz zum Beispiel beim Warenkorb von Online Shops
Session Hijacking
- Entführen der Session und zu Erlangen der Vertrauensstellung
- Zuerst passives Sniffing der Kommunikation. (Bei HTTP Verkehr direkter Zugriff auf Physical Layer oder Man-in-the-Middle-Attack; bei HTTPS Verkehr muss die Verschlüsselung zunächst aufgebrochen werden.)
- Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender.