Zum Hauptinhalt springen

14. Security Considerations (Sicherheitsüberlegungen)

Diese Spezifikation betrifft die Ausdrucksform, Kommunikation und Durchsetzung der HSTS-Richtlinie. Das gesamte HSTS-Richtlinien-Bedrohungsmodell, einschließlich behandelter und nicht behandelter Bedrohungen, ist in Abschnitt 2.3 ("Threat Model") angegeben.

Darüber hinaus diskutieren die folgenden Abschnitte die operativen Auswirkungen der HSTS-Richtlinie, liefern die Begründung für Funktionen, diskutieren potenziellen HSTS-Richtlinien-Missbrauch und heben einige bekannte Schwachstellen in der HSTS-Richtlinienarchitektur hervor.

14.1. Underlying Secure Transport Considerations (Überlegungen zum zugrunde liegenden sicheren Transport)

Diese Spezifikation ist so konzipiert, dass sie unabhängig vom zugrunde liegenden sicheren Transport von HTTP ist. Die Bedrohungsanalyse und Anforderungen in Abschnitt 2 ("Overview") nehmen jedoch tatsächlich TLS oder SSL als zugrunde liegenden sicheren Transport an. Daher erfordert die Verwendung von HSTS in Umgebungen, in denen HTTP über andere sichere Transportprotokolle läuft, die Bewertung des Sicherheitsmodells dieses sicheren Transportprotokolls und der spezifischen Details, wie HTTP darüber geschichtet ist, um die nachfolgenden Sicherheitseigenschaften von HSTS in dieser Umgebung zu bewerten.

14.2. Non-Conformant User Agent Implications (Auswirkungen nicht konformer Benutzeragenten)

Nicht konforme Benutzeragenten ignorieren das Strict-Transport-Security-Header-Feld; daher können nicht konforme Benutzeragenten die in Abschnitt 2.3.1 ("Threats Addressed") beschriebenen Bedrohungen nicht lösen.

Dies bedeutet, dass Webanwendungen und ihre Benutzer, die nicht konforme UAs verwenden, in den folgenden beiden Situationen anfällig für Angriffe sind:

Passive Netzwerkangriffe (aufgrund von Website-Entwicklungs- und Bereitstellungsfehlern)

Wenn die Webanwendung beispielsweise unsichere Referenzen (z. B. "http") auf den Webanwendungsserver enthält und wenn ihre Cookies nicht alle als "Secure" markiert sind, sind ihre Cookies anfällig für passives Netzwerk-Sniffing und könnten zum Missbrauch von Benutzeranmeldeinformationen führen.

Aktive Netzwerkangriffe (Active Network Attacks)

Wenn beispielsweise ein Angreifer einen "Man-in-the-Middle" platzieren kann, können sichere Transport-Verbindungsversuche den Benutzer warnen, aber in Abwesenheit der HSTS-Richtliniendurchsetzung besteht die aktuelle übliche Praxis darin, dem Benutzer zu erlauben, "durchzuklicken" und fortzufahren. Dies macht Benutzer und die Webanwendung anfällig für Missbrauch durch solche Angreifer.

14.3-14.10. [Weitere Sicherheitsüberlegungen]

Für vollständige Details zu allen Sicherheitsüberlegungen, einschließlich:

  • 14.3. Auswirkungen der HSTS-Richtlinien-Etablierung nur über fehlerfreien sicheren Transport
  • 14.4. Die Notwendigkeit für includeSubDomains
  • 14.5. Denial of Service
  • 14.6. Bootstrap-MITM-Schwachstelle
  • 14.7. Richtlinienlöschung
  • 14.8. Gefälschtes Root-CA-Zertifikat-Phishing plus DNS-Cache-Poisoning-Angriff
  • 14.9. Kreative Manipulation der HSTS-Richtlinie
  • 14.10. Internationalisierte Domainnamen

Bitte beziehen Sie sich auf die vollständige RFC 6797-Spezifikation.

Letztes Update am