Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Die kleine HSTS (HTTP Strict Transport Security) Falle

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

02.07.2015, aktualisiert 03.07.2015, 17664 Aufrufe, 8 Kommentare, 2 Danke

Heute Morgen fiel mir auf, das Administrator.de unter dem Firefox und dem Chrome nur noch auf die https Variante schaltet. Egal, ob http:// eingegeben wurde oder nicht, ich landetet immer wieder auf der https-Seite. Generell nichts schlimmes, aber dummerweise funktioniert die Werbung unter https nur eingeschränkt.

Was war also passiert: HSTS hat zugeschlagen. "HSTS" bedeutet HTTP Strict Transport Security und macht genau das, was ich gerade beschrieben habe: Es leitet jeden http Aufruf auf https um. Irgendwann hatte ich als Sicherheitsempfehlung die HSTS Konfiguration für den Webserver eingetragen, ohne genau zu prüfen was das für Folgen hat (passiert mir auch - doofer Fehler, ich weiß).

Hier die Config für Lighttpd, um HSTS einzuschalten (in der lighttpd.conf):
01.
server.modules += ( "mod_setenv" )
02.
$HTTP["scheme"] == "https" {
03.
    setenv.add-response-header  = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload")
04.
}
Hier die Config für NGINX, um HSTS einzuschalten (im Server-Block für HTTPS) :
01.
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
Danach muss der jeweilige Server neu gestartet werden. Wenn alles richtig läuft, sollte nach einmaliger Eingabe der https Adresse jeder zukünftige Aufruf über https erfolgen.


Eigentlich eine schöne Sache, aber ohne Werbung können wir uns nicht finanzieren. Dazu passt der folgende Artikel: Washington Post stellt Website auf HTTPS um oder Probleme bei der Umstellung von Websites auf HTTPS.

Nachdem ich den selbst verschuldeten Fehler entdeckt habe, wurde dieser Teil der Config deaktiviert (evtl schalten wir das später ja wieder aktiv) und die Server neu gestartet.

Dummerweise merken sich, bis auf den IE 11, alle anderen Browser die HSTS Einstellung (getestet mit den neuesten Versionen von IE, Firefox und Chrome). Beim Chrome reicht das Löschen des Browser-Caches aus, um diese Einstellung wieder loszuwerden (alternativ in die URL "chrome://net-internals/#hsts" eingeben). Beim Firefox leider nicht. Hier muss man erst die gesamte History löschen und dann per "about:permissions" in der URL-Zeile die entsprechende Domain auswählen und ganz rechts auf "Gesamte Webseite vergessen" klicken.

Hier die Bilder dazu:

1) Cache löschen
5bc18c1290468d15de5e109aa1b2667b - Klicke auf das Bild, um es zu vergrößern

2) Einstellung zur Webseite vergessen
a0f3776f51b134f7b7ec3d36d0c08a4d - Klicke auf das Bild, um es zu vergrößern

Danach kann man die ausgewählte Domäne (hier www.administrator.de) wieder ohne das HSTS-Feature aufrufen (ohne die automatische Umleitung auf https). Damit kann ich selbst und nicht der Browser steuern, welche Bereiche der Webseite per https aufgerufen werden (Mitgliederbereich, Einstellungen) und welche nicht (Startseite, Detailseiten mit Werbung).

Ich hoffe ich konnte etwas zum Thema HSTS etwas beitragen. Auf Feeback freue ich mich natürlich.

Gruß
Frank
Mitglied: Herbrich19
03.07.2015 um 20:37 Uhr
Hallo,

Ich gehe davon aus das ihr AddWords von Google nutzt? Haben die kein HTTPS suport?? Andererseits ist HTTPS umnötig für seiten die eh jeder sehen darf da HTTPS auch eine gewisse Auslastung auf den Webserver erzeugt.

LG, Herbrich
Bitte warten ..
Mitglied: wiesi200
03.07.2015, aktualisiert um 21:39 Uhr
Naja, bei HTTPS geht es ja nicht nur um Verschlüsselung sondern auch das die Daten unverändert sind, solange die Zertifikatskette nicht aufgebrochen wird was man dann aber nachvollziehen kann.
Zudem gehört es meines Wissens nach zu den Google Ranking Faktoren.

Zur zusätzlichen Auslastung. Google z.b. hat bei deren Umstellung eher die Aussage gebracht das dieser Faktor zu vernachlässigen ist. Alleine schon das die meisten Grundsätzliche Apache benutzen, der PHP Code unsauber ist oder schlechte Templates verwenden macht sich mehr bemerkbar als HTTPS.

Unsere Firmenseiten laufen seit gut nem halben Jahr auf HTTPS und sind "meiner" Meinung nach schnell genug.

Bei mir ist aber auch nicht das Problem ich auf Werbung angewiesen bin.
Bitte warten ..
Mitglied: Herbrich19
03.07.2015 um 21:43 Uhr
Ich habe auf meiner Homepage und auf Exchange auch HTTPS und läuft sehr flott. Und ja stimmt, die Autentizität der Daten ist schon wichtig. Wengleich ich mich aber auch fragen muss warum man eine Community angreifen sollte und da Daten verändert.

Aber die Tatsache das SSL zu den PageRank faktoren gehört ist mir neu, kannst du quellen posten den ich würde es liebend gern auch selbst mal nachvolzihen. Man lernt nie aus

LG, Herbrich
Bitte warten ..
Mitglied: wiesi200
03.07.2015 um 21:53 Uhr
Ich sehe da eher dann das Problem des Einschleusens von Schadcode.

Anbei ne Quelle
http://googlewebmastercentral.blogspot.de/2014/08/https-as-ranking-sign ...
Bitte warten ..
Mitglied: Herbrich19
03.07.2015 um 22:03 Uhr
Ja, dass ist immer in der Tat ein Problem, man bedenke wie viele Admins von ihren Servern auf diese Seite gehen. Eigentlich sollte Internet Surfen auf Servern strengstens verboten werden mit Ausnahme von Terminal Servern.

LG, Herbrich
Bitte warten ..
Mitglied: mathu
06.07.2015, aktualisiert um 11:27 Uhr
Wobei allerdings es bei Microsoft Serversystemen zumindest mit Hürden versehen ist, auf dem Server zu surfen.
Wer das allerdings trotzdem macht, hmm sollte schon wissen was er da tut...
Bitte warten ..
Mitglied: Herbrich19
08.07.2015 um 00:57 Uhr
Hallo,

Ich Surfe Privat immer auf einen Windows Server 2008 r2 System, konfiguriert als Terminal Server Ich würde aber jeden der sowas macht wie beim klasischen Client System ein AV Proggramm ans hetz legen, ich nutze TrendMicro

LG, J. Herbrich
Bitte warten ..
Mitglied: win-dozer
11.07.2015, aktualisiert 17.07.2015
hmm schade... https sollte mittlerweile echt default sein.
...ich meine letztens gelesen zu haben das google adwords mittlerweile auch per https ausgeliefert werden kann...?
Bitte warten ..
Ähnliche Inhalte
Windows 10

Microsoft veröffentlicht das "Fall Creators Update

Information von Penny.CilinWindows 1010 Kommentare

Hier der Heise Link: Windows 10: Microsoft veröffentlicht das "Fall Creators Update"

Windows 10

Windows 10 Insider 16299.15 ist Fall Creators Update RTM

Tipp von DerWoWussteWindows 1017 Kommentare

if you're an Insider who is looking to get off the preview train, you can now safely do so ...

Sicherheits-Tools

Trendmicro OSCE und das Fall Creators Update Win10 RS3

Information von HenereSicherheits-Tools5 Kommentare

Es gibt derzeit Probleme beim Einsatz von Trendmicro OSCE in der Version XG und 11.0 SP1. Beim booten mit ...

Sicherheit

Information Security Hub Munich airport

Information von brammerSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Neue Wissensbeiträge
Humor (lol)
Preisvertipper
Information von Dilbert-MD vor 7 StundenHumor (lol)6 Kommentare

Moin! weil heute Freitag ist, zeige ich Euch den Preisvertipper der Woche: vergesst den Acer Predator 21x, der ist ...

Windows Update
Sicherheitsupdate für SQL Server 2014 SP3
Information von sabines vor 1 TagWindows Update2 Kommentare

Für den SQL Server 2014 existiert ein Sicherheitsupdate. Laut KB Artikel wird es als CU3 angezeigt: Server 2014 SP3 ...

Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 2 TagenBackup1 Kommentar

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 4 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Heiß diskutierte Inhalte
Windows Update
WSUS - erforderlich Updates
Frage von emeriksWindows Update24 Kommentare

Hi, ein gängiges Verfahren, welche Updates man am WSUS-Server genehmigen soll und welche nicht, beruft sich darauf, dass man ...

Netzwerkgrundlagen
Neue Serverumgebung von 0 aufbauen
Frage von JacareNetzwerkgrundlagen20 Kommentare

Hallo zusammen, ich bin noch nicht lange hier und weiß nicht, ob meine Frage daher etwas ungewöhnlich ist. Ich ...

Off Topic
Installationskosten Verkabelung
Frage von Xaero1982Off Topic14 Kommentare

Moin Zusammen, ich bräuchte mal ein paar Meinungen, weil ich mir da gerade echt nicht ganz sicher bin. Ich ...

LAN, WAN, Wireless
Ich möchte mein Heimnetz umbauen. Welches ist die beste Variante?
Frage von s.burgerLAN, WAN, Wireless13 Kommentare

Schönen guten Tag liebe Admin-Community, ich wollte schon seit geraumer Zeit mein Heimnetzwerk etwas aufräumen und wollte euch um ...