World Wide Web Techniken

Aus xinux.net

Version vom 7. Oktober 2020, 14:32 Uhr von Tina (Diskussion | Beiträge) (→‎Aktive Inhalte)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

HTTP, HTTPS, HTTP-Header, Referrer

HTTP

Hypertext Transfer Protocol
Zustandsloses Protokoll zur Datenübertragung in Netzen.
Wird hauptsächlich eingesetzt um Websites in einen Webbrowser zu laden.
Client Server Modell

HTTPS

Hypertext Transfer Protocol Secure
Erweiterung von HTTP so dass Daten verschlüsselt zwischen Client und Server übertragen werden.
Ende-zu-Ende-Verschlüsselung und Authentifizierung.
Hinzufügen einer Schicht zwischen HTTP und TCP
Verhinderung von Phishing Attacken und Man-in-the-Middle-Angriffe.

HTTP-Header

Bestandteile der HTTP-Protokollheaders
Erlauben die Übergabe zusätzlicher Informationen bei einer Anfrage (Client) oder einer Antwort (Server).
Syntax: Name und durch einen Doppelpunkt getrennter Wert. Beispiel -> Accept-Language: *
Duch Einsatz spezieller Header läßt sich die Sicherheit von Websites erhöhen. (zum Beispiel Festlegung, dass die Seite nur per HTTPS aufgerufen werden darf)

Referrer

HTTP-Header der als Wert die URL der vorher besuchten Webseite enthält.
Kann zu Analysezwecken und Logging benutzt werden.
Kann für den Nutzer die unerwünschte Freigabe von Informationen bedeuten.
Kann ein Sicherheitsproblem sein.
Beispiel Reset-Password-Page mit Link weitere Seite (über angezeigte Werbung oder Social Media Links)

Sessions, Cookies, Aktive Inhalte

Sessions

Behebung des Problems der Zustandslosigkeit des HTTP Protokolls.
Anhand der eindeutigen Session-ID können einem Client Daten über den Verlauf mehrerer Anfragen zugeordnet werden.
Speicherung der Sessiondaten Serverseitig
Einsatz zum Beispiel beim Warenkorb von Online Shops

Session Hijacking

Entführen der Session und zu Erlangen der Vertrauensstellung
Zuerst passives Sniffing der Kommunikation. (Bei HTTP Verkehr direkter Zugriff auf Physical Layer oder Man-in-the-Middle-Attack; bei HTTPS Verkehr muss die Verschlüsselung zunächst aufgebrochen werden.)

Entführen von TCP-Sitzungen: Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender.
Entführen von Web-Sitzungen: Übernahme der Verbindung durch Diebstahl oder Erraten der Session-ID

Gegenmaßnahme besteht in der Verwendung von HTTPS, Challenge-Respone-Authentifizierung (Authentifizierungsverfahren auf Basis von Wissen), dem Verbot von Cross-Site Scripting

Session Fixation

Angreifer läßt sich eine Gültige Session ID ausstellen, die er anschließend dem Opfer unterschiebt.
Authentifiziert sich das Opfer am System, kann der Angreifer Zugriff erhalten solange die Session ID gültig ist.
Einsatz bei der Kompromottierung von Webanwendungen. (URL-Manipulation, Cross-Site-Scripting)

Cookies

Daten die von einer Website auf dem Client gespeichert werden.
Wird vom Webserver an der Browser geschickt oder im Browser von einem Script erzeugt.
Kann zu einem späteren Zeitpunkt vom Server ausgelesen werden.
Bieten die Möglichkeit des Trackings.
Sicherheitseinstellungen des Browsers zu Cookies beachten.

Aktive Inhalte

Inhalte von Webseiten, die auf dem System des Client ausgeführt werden.
JavaScript, ActiveX, VBScript, Java
Angreifer können zu anderen Webseiten umleiten, Daten ausspähen, verändern oder löschen, Schadsoftware auf das System des Opfers laden.
Browsereinstellungen zur Ausführung aktiver Inhalte beachten.

Proxys, Anonymisierung (TOR, JAP)

Datenspeicherung in Browsern (Cookies, Verlauf, Cache) bei Internet Explorer und Mozilla

Abgerufen von „https://xinux.net/index.php?title=World_Wide_Web_Techniken&oldid=21474“