Verschlüsselung: Apple entdeckt und entschärft HSTS-Supercookies

Die Erweiterung HSTS soll eigentlich die Privatsphäre der Internet-Nutzer durch Verschlüsselung verbessern. Doch offenbar wird sie jetzt missbraucht, um Anwender zu tracken. Apple verändert deshalb die Umsetzung des Standards in WebKit.

In Pocket speichern vorlesen Druckansicht 62 Kommentare lesen
TLS und die Rauferei um das "richtige" Internet
Lesezeit: 3 Min.

HTTP Strict Transport Security (HSTS) ist ein Internet-Standard, der die Benutzung HTTPS-gesicherter Seiten fördern soll. Der Server teilt dabei dem Browser mit, dass er die Verschlüsselung beherrscht. Der Browser merkt sich das und ruft die Web-Seiten zukünftig verschlüsselt ab. Apples Webkit-Team hat nun erstmals beobachtet, dass diese Funktion missbraucht wird, um Anwender im Netz zu tracken und gezielte Gegenmaßnahmen ergriffen.

Erweiterte Sicherheitsfunktionen wie HSTS lassen sich missbrauchen, um einem Browser einen eindeutigen Fingerabdruck zu verpassen und ihn daran später wiederzuerkennen. Man spricht dabei von Supercookies (auch wenn es mit Cookies eigentlich nichts mehr zu tun hat). Um das HSTS-Supercookie zu setzen, ruft ein Skript einen speziellen Satz von Web-Servern mit aktivem HSTS auf. Später erkennt es den Browser daran wieder, dass er HTTP-Aufrufe dieser Server automatisch in HTTPS umwandelt. Damit kann man den einmal getaggten Browser überall im Internet wiedererkennen.

Das Problem war den Autoren des Standards bereits bekannt und ich habe es etwa in meinen Webinaren zu erweiterten TLS/SSL-Funktionen auch regelmäßig erwähnt. Allerdings hielt man das Problem bislang für ein eher theoretisches Szenario, das man für den Sicherheitsgewinn in Kauf nehmen kann. Doch in einem aktuellen Blog-Post zu Protecting Against HSTS Abuse berichtet Brent Fulgham vom WebKit-Team, dass er diesen Missbrauch ganz real beobachtet habe. Konkrete Angaben, wo und in welchem Umfang, macht er dabei leider nicht.

Immerhin bewog das die Entwickler, die HSTS-Implementierung in WebKit, die unter anderem in Safari zum Einsatz kommt, mit zwei Einschränkungen zu versehen, die dieses Tracking so weit erschweren sollen, dass es sich nicht mehr sinnvoll einsetzen lässt. Normalerweise ist es möglich, HSTS für beliebige Sub-Domains zu setzen. Das beschränkt WebKit jetzt auf den aktuellen Hostnamen (etwa “https://a.a.a.a.a.a.a.a.a.a.a.a.a.example.com”) oder die Top Level Domain +1 (TLD+1: “https://example.com”). Außerdem ignoriert WebKit den HSTS-Zustand von Subressource-Requests, die auf blockierte Domains verweisen. Das sind dann etwa Domains, deren Third-Party-Cookies WebKit berets blockt.

Die Entwickler gehen davon aus, dass diese Maßnahmen das Tracking wirkungsvoll unterbinden, den nutzbringenden HSTS-Einsatz jedoch nicht einschränken. Sie haben auch Kontakt mit den Autoren des Internet-Standards zu HSTS (RFC 6797) aufgenommen, mit dem Ziel, dass dieser diesbezüglich erweitert wird. (ju)