Firefox macht es HTTPS-Lauschern künftig schwerer

Die aktuelle Beta bringt eine Liste von Domains wie PayPal.com mit, zu denen der Browser ausschließlich verschlüsselte Verbindungen aufbaut. Das soll Man-in-the-middle-Angriffe vereiteln.

In Pocket speichern vorlesen Druckansicht 130 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Mozilla hat seiner Firefox-Beta eine Liste von Domains mit auf den Weg gegeben, mit denen der Browser nur verschlüsselt über HTTPS kommunizieren darf. Das soll verhindern, dass beim Aufruf besonders schützenswerter Seiten ein Angreifer als Man-in-the-middle den Datenverkehr im Klartext mitlesen und manipulieren kann. Die Liste ergänzt die HTTP-Header-Erweiterung Strict Transport Security (HSTS), durch die ein Server den Browser anweisen kann, dass der Verbindungsaufbau ausschließlich über HTTPS erfolgen soll.

Das Problem hierbei ist jedoch, dass viele Nutzer die HTTP-Version einer Webseite ansteuern und sich darauf verlassen, dass sie zum richtigen Zeitpunkt auf die HTTPS-Ausgabe umgeleitet werden. Die HTTP-Anfrage kann ein Angreifer im gleichen Netz jedoch beliebig manipulieren, sodass etwa die Umleitung ausbleibt oder der Nutzer auf eine komplett andere Seite geschickt wird. Der Browser des Nutzer erhält in diesem Fall auch die Information, ob das Gegenüber HSTS einsetzt, nicht über einen sicheren Kanal.

Anhand der eingebauten Listen weiß Firefox nun in vielen Fällen schon vor dem ersten Verbindungsaufbau, ob HSTS zum Einsatz kommt und verbindet sich auch dann direkt über HTTPS mit dem Server, wenn der Nutzer nur die HTTP-Version der Seite angesteuert hat. Google Chrome führt eine solche Liste bereits seit mehreren Monaten. Nach Angaben der Mozilla-Entwickler entstammt auch die Liste von Firefox aus dem Chromium-Projekt. Die Entwickler haben die einzelnen Hosts noch mal überprüft und sie nur in die Liste aufgenommen, wenn HSTS im Header mit einer Mindestdauer von 18 Wochen vorgeschrieben ist. (rei)