Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende Überarbeitung | Letzte ÜberarbeitungBeide Seiten der Revision | ||
| hsts [2013/06/28 08:51] – [HTTP Strict Transport Security (HSTS)] bush | hsts [2013/06/28 09:20] – [Einstellung für Apache 2] bush | ||
|---|---|---|---|
| Zeile 92: | Zeile 92: | ||
| \\ | \\ | ||
| + | ===== Geht's noch sicherer? ===== | ||
| + | |||
| + | Antwort: Auf jeden Fall! | ||
| + | |||
| + | Das vorliegende Verfahren HSTS (darauf wurde oben schon hingewiesen) ist ja darauf angelegt, beim Aufruf einer Webseite dem Webclient mitzuteilen, | ||
| + | |||
| + | Damit ist sofort klar, dass der erste (unsichere!) Verbindungsaufbau von einem Man-in-the-Middle (MitM) abgefangen werden kann. In diesem Fall ist HSTS machtlos, denn der MitM wird die HSTS-Anweisung **garantiert nicht** an den Webclient weiterreichen. | ||
| + | |||
| + | Deshalb hier einige Tipps für die Nutzer: | ||
| + | * Achten Sie darauf, dass Sie sensible Verbindungen - dazu gehören grundsätzlich solche, bei denen ein Login erforderlich ist - von vornherein mit HTTPS aufrufen. | ||
| + | * Achten Sie auf das Vorhängeschloss im Adressfeld. Es signalisiert eine verschlüsselte Verbindung. | ||
| + | * Verwenden Sie im sensiblen Umfeld Browser, die HSTS unterstützen. Das Whitepaper in den Quellenangaben | ||
| + | * Nutzen Sie, falls möglich Browser-AddOns, | ||
| + | |||
| + | |||
| + | |||
| ===== Quellen ===== | ===== Quellen ===== | ||
