Microsoft pusht HTTPS beim Internet Explorer und Edge-Webbrowser
Ab sofort sollen der Internet Explorer und Webbrowser von Windows 10 Edge das verschlĂĽsselte Surfen ĂĽber HTTPS vorantreiben. DafĂĽr hat Microsoft jetzt Updates verteilt, die HSTS einfĂĽhren.
Am heutigen Patchday hat Microsoft nicht nur SicherheitslĂĽcken gestopft, sondern auch den Internet Explorer 11 und Edge-Webbrowser noch fitter fĂĽr den Internetseiten-Zugriff via HTTPS gemacht. DafĂĽr haben sie den beiden Webbrowsern in Form des Updates KB 3058515 die UnterstĂĽtzung fĂĽr das HTTP-Strict-Transport-Security-Verfahren (HSTS) spendiert.
HSTS kann kompatible Webbrowser beim Besuch einer Internetseite mit HSTS-UnterstĂĽtzung dazu ĂĽberreden, verschlĂĽsselt ĂĽber HTTPS zu kommunizieren. Demzufolge stellt HSTS sicher, dass, egal was der Nutzer eintippt oder auf welches Lesezeichen er sich beruft, bestimmte Webseiten immer ĂĽber HTTPS angesurft werden. Das gelingt auch, wenn ein Angreifer dem Nutzer eine unverschlĂĽsselte HTTP-Verbindung als HTTPS-Verbindung verkaufen will. Ăśber den HSTS-Ansatz kann man demnach auch Man-in-the-Middle-Angriffe vorbeugen.
Aktuell unterstĂĽtzen Chrome, Firefox, Opera und Safari HSTS. Seit dem heutigen Patchday sind nun auch der Internet Explorer 11 unter Windows 7, 8.1 und der neue Webbrowser Edge von Windows 10 mit dem Standard kompatibel.
In der Praxis können Admins von Webseiten Webbrowsern HSTS über zwei Wege anbieten: Das gelingt etwa über einen HTTP response header oder über den Abruf einer Liste mit HSTS-kompatiblen Webseiten. Kyle Pflug zufolge, dem Program Manager Microsoft Edge, setzt Microsoft dabei auf die Liste aus Googles Chromium-Projekt.
Pflug erklärte zudem das Verhalten der hauseigenen Webbrowser in Bezug auf den Umgang mit verschlüsselten und nicht verschlüsselten Inhalten auf Webseiten, die HSTS unterstützen. In diesem Fall soll Edge derartige Mix-Inhalte immer blocken. Der Internet Explorer 11 fragt den Nutzer, ob er alle Elemente ausführen darf. (des)
