HTTP - Sicherheit


Advertisements

HTTP wird für die Kommunikation über das Internet verwendet werden, so dass Anwendungsentwickler, Informationsanbieter und Benutzer sollten sich der Sicherheitseinschränkungen in HTTP / 1.1 sein. Diese Diskussion enthält keine endgültige Lösungen auf die hier genannten Probleme aber es macht einige Vorschläge zur Verringerung der Sicherheitsrisiken.

Persönliche Informationen Leckage

HTTP-Clients sind oft eingeweiht große Menge an persönlichen Informationen, wie den Benutzers ist Namen , Standort, Mail-Adresse, Passwörter, Verschlüsselungs Schlüssel etc. So können Sie sollten sehr vorsichtig sein, um zu verhindern ein unbeabsichtigtes Leckagen von diesen Informationen über das HTTP-Protokoll zu anderen Quellen.

  • Alle vertraulichen Informationen sollten auf dem Server in verschlüsselter Form gespeichert werden.

  • Die Enthüllung des spezifischen Software-Version der Server kann damit der Server-Maschine zu werden möglicherweise anfälliger für Angriffe auf Software, die bekannt ist, dass Sicherheitslücken enthalten.

  • Proxies dass dienen als Portal durch einer Firewall sollten nahmen spezielle Vorsichtsmaß hinsichtlich der Überweisung der Header-Informationen, die die Hosts hinter der Firewall identifiziert.

  • Das Informationen gesendet in "Form" feld, kollidieren könnten mit Benutzers ist Datenschutzinteressen oder ihre Sicherheitspolitik und somit sollte es nicht ohne den Benutzer in der Lage übertragen werden zu deaktivieren, befähigen, und den Inhalt zu modifizieren des Feldes.

  • Die Kunden sollten keinen umfasst Referer-Header-Feld in einer (nicht abgesichert) HTTP-Anforderung , wenn die Verweisseite wurde mit einem sicheren Protokoll übertragen werden.

  • Autoren von Dienstleistungen, die das HTTP-Protokoll verwenden, sollten keine verwendung GET basierte Formulare für die Einreichung von sensiblen Daten, weil es die Daten zu veranlassen, in der Request-URI codiert sein.

Datei- und Pfadnamen basierend Angriff

Das Dokument sollte eingeschränkt zu Dokumente zurückgegeben von HTTP-Anfragen , zu sein nur diejenigen die von den Server-Administratoren gedacht waren .

Zum Beispiel, UNIX, Microsoft Windows und andere Betriebssysteme verwenden ".." als Pfadkomponente, um eine Verzeichnisebene über der aktuellen anzuzeigen. Auf einem solchen System, muss ein HTTP-Server eine solche Konstruktion in der Request-URI verbieten, wenn es anders erlauben würde Zugriff auf eine Ressource außerhalb der Werte beabsichtigt zu sein über den HTTP-Server zugegriffen werden kann.

DNS Spoofing

Kunden über HTTP verlassen sich stark auf den Domain Name Service, und sind daher in der Regel allgemein neigend für Sicherheitsangriffe auf Basis einer bewussten Fehl Vereinigung von IP-Adressen und DNS-Namen. So Clients müssen vorsichtig, die weitere Gültigkeit der einer IP-Nummer / DNS-Name Verein zu sein.

Wenn HTTP-Clients zwischengespeichert werden die Ergebnisse der Host-Name-Lookups, um eine Leistungssteigerung zu erzielen, müssen die TTL Information von der DNS berichtet beobachten. Wenn HTTP-Clients diese Regel nicht einhalten, sie gehackt werden könnte, wenn die IP-Adresse Änderungen eines zuvor abgerufen Server.

Lage Kopfzeile und Spoofing

Wenn ein einzelner Server unterstützt mehrere Organisationen, die einen nicht vertrauen anderen, dann muss prüfen es die Werte der Location und Inhalt-lage-Kopfzeile in den Antworten, die unter der Kontrolle der Organisationen, um sicherzustellen, dass sie nicht versuchen, erzeugt werden prüfen ungültig Ressourcen, über die sie keine Macht haben.

AuthentifizierungsZeugnisse

Die bestehenden HTTP-Clients und BenutzerAgenten in der Regel behalten Authentifizierungsinformationen auf unbestimmte Zeit. HTTP / 1.1 nicht ein Verfahren zu schaffen für einen Server an Direktkunden, zu verwerfen diese zwischengespeicherten Anmeldeinformationen, die ein großes Sicherheitsrisiko ist.

Es gibt eine Reihe von Arbeiten rund zu den Teilen dieses Problem, und so empfiehlt es sich, machen die Verwendung von Passwortschutz im Bildschirmschoner, Leerlaufzeitüberschreitungen und andere Methoden, dass mildern die die Sicherheitsprobleme, inhärent die in dieser Problem.

proxie und Zwischenspeicherungs

HTTP-Proxies sind Männer-in-the-Middle-und repräsentieren eine Chance für Man-in-the-Middle-Angriffe. Proxies haben Zugriff auf sicherheitsrelevante Informationen, persönliche Informationen über einzelne Benutzer und Organisationen und urheberrechtlich geschützte Informationen zugehörig für Benutzer und Content-Anbietern.

Proxy-Betreiber sollten die Systeme, auf denen Proxies laufen zu schützen, wie sie jedes System, das enthält oder transportiert sensible Informationen zu schützen.

Caching-Proxies bieten zusätzliche potenzielle Schwachstellen, da der Inhalt des Cache stellen ein attraktives Ziel für böswillige Ausbeutung. Deshalb sollte Cache-Inhalt als sensible Informationen geschützt werden.

Advertisements