World Wide Web Techniken: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Tina (Diskussion | Beiträge) |
Tina (Diskussion | Beiträge) |
||
Zeile 44: | Zeile 44: | ||
* Bieten die Möglichkeit des Trackings. | * Bieten die Möglichkeit des Trackings. | ||
* Sicherheitseinstellungen des Browsers zu Cookies beachten. | * Sicherheitseinstellungen des Browsers zu Cookies beachten. | ||
+ | ==Aktive Inhalte== | ||
+ | * Inhalte von Webseiten, die auf dem System des Client ausgeführt werden. | ||
+ | * JavaScript, ActiveX, VBScript, Java | ||
+ | * Angreifer können zu anderen Webseiten umleiten, Daten ausspähen, verändern oder löschen, Schadsoftware auf das System des Opfers laden. | ||
+ | * Browsereinstellungen zur Ausführung aktiver Inhalte beachten. |
Version vom 7. Oktober 2020, 14:31 Uhr
HTTP, HTTPS, HTTP-Header, Referrer
HTTP
- Hypertext Transfer Protocol
- Zustandsloses Protokoll zur Datenübertragung in Netzen.
- Wird hauptsächlich eingesetzt um Websites in einen Webbrowser zu laden.
- Client Server Modell
HTTPS
- Hypertext Transfer Protocol Secure
- Erweiterung von HTTP so dass Daten verschlüsselt zwischen Client und Server übertragen werden.
- Ende-zu-Ende-Verschlüsselung und Authentifizierung.
- Hinzufügen einer Schicht zwischen HTTP und TCP
- Verhinderung von Phishing Attacken und Man-in-the-Middle-Angriffe.
HTTP-Header
- Bestandteile der HTTP-Protokollheaders
- Erlauben die Übergabe zusätzlicher Informationen bei einer Anfrage (Client) oder einer Antwort (Server).
- Syntax: Name und durch einen Doppelpunkt getrennter Wert. Beispiel -> Accept-Language: *
- Duch Einsatz spezieller Header läßt sich die Sicherheit von Websites erhöhen. (zum Beispiel Festlegung, dass die Seite nur per HTTPS aufgerufen werden darf)
Referrer
- HTTP-Header der als Wert die URL der vorher besuchten Webseite enthält.
- Kann zu Analysezwecken und Logging benutzt werden.
- Kann für den Nutzer die unerwünschte Freigabe von Informationen bedeuten.
- Kann ein Sicherheitsproblem sein.
- Beispiel Reset-Password-Page mit Link weitere Seite (über angezeigte Werbung oder Social Media Links)
Sessions, Cookies, Aktive Inhalte
Sessions
- Behebung des Problems der Zustandslosigkeit des HTTP Protokolls.
- Anhand der eindeutigen Session-ID können einem Client Daten über den Verlauf mehrerer Anfragen zugeordnet werden.
- Speicherung der Sessiondaten Serverseitig
- Einsatz zum Beispiel beim Warenkorb von Online Shops
Session Hijacking
- Entführen der Session und zu Erlangen der Vertrauensstellung
- Zuerst passives Sniffing der Kommunikation. (Bei HTTP Verkehr direkter Zugriff auf Physical Layer oder Man-in-the-Middle-Attack; bei HTTPS Verkehr muss die Verschlüsselung zunächst aufgebrochen werden.)
- Entführen von TCP-Sitzungen: Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender.
- Entführen von Web-Sitzungen: Übernahme der Verbindung durch Diebstahl oder Erraten der Session-ID
- Gegenmaßnahme besteht in der Verwendung von HTTPS, Challenge-Respone-Authentifizierung (Authentifizierungsverfahren auf Basis von Wissen), dem Verbot von Cross-Site Scripting
Session Fixation
- Angreifer läßt sich eine Gültige Session ID ausstellen, die er anschließend dem Opfer unterschiebt.
- Authentifiziert sich das Opfer am System, kann der Angreifer Zugriff erhalten solange die Session ID gültig ist.
- Einsatz bei der Kompromottierung von Webanwendungen. (URL-Manipulation, Cross-Site-Scripting)
Cookies
- Daten die von einer Website auf dem Client gespeichert werden.
- Wird vom Webserver an der Browser geschickt oder im Browser von einem Script erzeugt.
- Kann zu einem späteren Zeitpunkt vom Server ausgelesen werden.
- Bieten die Möglichkeit des Trackings.
- Sicherheitseinstellungen des Browsers zu Cookies beachten.
Aktive Inhalte
- Inhalte von Webseiten, die auf dem System des Client ausgeführt werden.
- JavaScript, ActiveX, VBScript, Java
- Angreifer können zu anderen Webseiten umleiten, Daten ausspähen, verändern oder löschen, Schadsoftware auf das System des Opfers laden.
- Browsereinstellungen zur Ausführung aktiver Inhalte beachten.