Sicherheitsaspekte bei Websites

Betreiber

Updates einspielen

Jede Software weist Lücken auf. Dies gilt auch im Web. Entsprechend ist es wichtig, dass stets die neuste Version eingesetzt wird, wenn zuvor gefundene und veröffentlichte Sicherheitslöcher damit korrigiert werden. Mit entsprechenden Skipts lässt sich die verwendete Software und/oder Version leicht detektieren.

Beispiele

  • What CMS?1) identifiziert die gängigsten Open Source CMS in eingesetzten Websites

Cross-Site-Scripting

Unterbinden:

  • Content Security Policy anwenden2), leider erst von Chrome/Firefox/Safari unterstützt (Stand: Juli 2013), einfaches Policy-Beispiel:
    • Header set X-Content-Security-Policy „default-src 'self'“
    • Header set X-Webkit-CSP „default-src 'self'“
    • Scripts müssen in Dateien ausgelagert werden, andere Domains als Script-Quelle können als Ausnahme erfasst werden

TLS/SSL

Check

Zum Überprüfen was ein Server einer bestimmten Domain so in Bezug auf SSL unterstützt, z.B. TLS 1.2 oder Perfect Forward Secrecy, bietet sich an:

Zertifikat erwerben

Es gibt viele Austeller von Zertifikaten. Günstige Zertifikate erwirbt man besser bei Resellern, der den Auftrag dann weiterleitet zum Austeller, statt es beim Austeller gleich selber zu beziehen. Beispiel:

  1. GeoTrust ist ein Austeller von Zertifikaten und betreibt eine eigene Intermediate-CA (aufsetzend der Root-CA von Equifax) - Preise ab $1499)
  2. Günstiger ist der Kauf über die RapidSSL Tochter, deren Intermediate-CA auf GeoTrust aufsetzt - Preise ab $4910)
  3. Noch günstiger ist der Kauf über einen RapidSSL Reseller wie z.B. gogetssl.com, der keine eigene CA betreibt, sondern nur den Auftrag entgegennimmt, abrechnet und an RapidSSL weiterleitet - Preise ab $8.8511)

Perfect Forward Secrecy

Schützt nicht vor MITM, aber vor rückwirkende Entschlüsslung durch z.B. Geheimdienste. Konkret folgende Suiten sind empfohlen12)

  • TLS_ECDHE_RSA_WITH_RC4_128_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Gefahren

Mit einem SSL-Server-Zertifikat kann die Kommunikation vom Browser zur Website abgesichert werden. Soweit zur Theorie.

  • Leider wurde schon mehrmals in CAs eingebrochen und neue Zertifikate ausgestellt.
  • Auch ist das Einschleusen neuer eigener Root-Zertifikate in die Ablage von Windows denkbar, worauf Chrome, Internet Explorer und Safari zugreifen (nur Firefox hat eine eigene/unabhängige Zertifikatsverwaltung).
  • Schutz vor MITM
    • Browser müssen Zertifikate validieren entweder per CRL oder noch besser per OCSP Abfrage; das Erwzingen der Abfrage kann in den Browsereinstellungen aktiviert werden
    • Thumbprint bzw. Fingerabdruck des Zertifikats (SHA1, MD5) muss bekannt sein und manuell kontrolliert werden (mir ist kein Browser AddOn bekannt, welches diese Arbeit abnimmt)
1) , 4) , 5) , 7) , 8) Letzter Aufruf: 10.04.2014
3) Schmidt, Jürgen (12.08.2013): “Forward Secrecy testen und einrichten“, in: heise online
9) GeoTrust QuickSSL Premium, gültig für ein Jahr für eine Domain, abgerufen auf geotrust.com am 10.10.2013
10) RapidSSL Certifikate, gültig für ein Jahr für eine Domain, abgerufen auf rapidssl.com am 10.10.2013
11) RapidSSL Standard, gültig für ein Jahr für eine Domain, abgerufen auf gogetssl.com am 10.10.2013
12) Schmidt, Jürgen (25.07.2013):“ Zukunftssicher verschlüsseln mit Perfect Forward Secrecy“, in: heise online
 
sicherheit_websites.txt · Zuletzt geändert: 2014/04/10 13:35 von elmar · [Ältere Versionen] · [Links hierher]