Microsoft pusht HTTPS beim Internet Explorer und Edge-Webbrowser

Am heutigen Patchday hat Microsoft nicht nur Sicherheitslücken gestopft, sondern auch den Internet Explorer 11 und Edge-Webbrowser noch fitter für den Internetseiten-Zugriff via HTTPS gemacht. Dafür haben sie den beiden Webbrowsern in Form des Updates KB 3058515 die Unterstützung für das HTTP-Strict-Transport-Security-Verfahren (HSTS) spendiert.

HSTS kann kompatible Webbrowser beim Besuch einer Internetseite mit HSTS-Unterstützung dazu überreden, verschlüsselt über HTTPS zu kommunizieren. Demzufolge stellt HSTS sicher, dass, egal was der Nutzer eintippt oder auf welches Lesezeichen er sich beruft, bestimmte Webseiten immer über HTTPS angesurft werden. Das gelingt auch, wenn ein Angreifer dem Nutzer eine unverschlüsselte HTTP-Verbindung als HTTPS-Verbindung verkaufen will. Über den HSTS-Ansatz kann man demnach auch Man-in-the-Middle-Angriffe vorbeugen.

Aktuell unterstützen Chrome, Firefox, Opera und Safari HSTS. Seit dem heutigen Patchday sind nun auch der Internet Explorer 11 unter Windows 7, 8.1 und der neue Webbrowser Edge von Windows 10 mit dem Standard kompatibel.

In der Praxis können Admins von Webseiten Webbrowsern HSTS über zwei Wege anbieten: Das gelingt etwa über einen HTTP response header oder über den Abruf einer Liste mit HSTS-kompatiblen Webseiten. Kyle Pflug zufolge, dem Program Manager Microsoft Edge, setzt Microsoft dabei auf die Liste aus Googles Chromium-Projekt.

Pflug erklärte zudem das Verhalten der hauseigenen Webbrowser in Bezug auf den Umgang mit verschlüsselten und nicht verschlüsselten Inhalten auf Webseiten, die HSTS unterstützen. In diesem Fall soll Edge derartige Mix-Inhalte immer blocken. Der Internet Explorer 11 fragt den Nutzer, ob er alle Elemente ausführen darf. (des)