Archive for August, 2013

HTTPS und BREACH

Mittwoch, August 7th, 2013

Dieser Artikel betrifft Sie nur, falls Sie Ihre Webseite per HTTPS betreiben.

Auf der aktuellen Black Hat-Konferenz wurde ein neuer Angriff gegen SSL/TLS vorgestellt, von dem unsere Kunden betroffen sein könnten: BREACH. Bei dem Angriff wird – vereinfacht gesagt – ein Zusammenspiel von HTTP-Komprimierung und SSL/TLS-Verschlüsselung ausgenutzt, um die Verschlüsselung auszuhebeln.

Der beste Schutz besteht darin, die HTTP-Komprimierung auszuschalten. Dies ist auch die Standardeinstellung auf unseren Servern. Sie kann jedoch per .htaccess manuell aktiviert werden und es ist nicht auszuschließen, dass dies bei Ihnen unbemerkt geschah, sofern Sie Drittsoftware installiert haben.

Test

Ob Ihre Webseite betroffen ist, können Sie leicht mit Hilfe des curl-Tools testen:

curl -I -H "Accept-Encoding: gzip" https://IHRE-WEBSEITE

Falls die Antwort kein Content-Encoding: gzip enthält, ist Ihre Webseite nicht betroffen.

Sollten Sie keinen Rechner zur Verfügung haben, auf dem curl installiert ist, können Sie sich auch einfach per SSH auf Ihrem Webserver anmelden und die Befehlszeile dort ausführen.

Schutz

Als grobe Faustregel gilt: Falls Sie

  1. eine Webseite mit HTTPS betreiben,
  2. diese Seite dynamisch im weitesten Sinn ist (Benutzereingaben verarbeitet etc.)
  3. und eine .htaccess-Datei mit einer Zeile ähnlich

    AddOutputFilterByType DEFLATE text/html text/plain text/xml application/javascript text/css

    existiert,

empfehlen wir Ihnen alle Typen zu entfernen, die möglicherweise dynamisch generiert werden. In der Regel ist das text/html.

Im Zweifelsfall konsultieren Sie Sicherheitsspezialisten oder entfernen Sie die Zeile komplett. Bitte haben Sie Verständnis, dass wir über diese allgemeinen Hinweise hinaus keine individuelle Sicherheitsberatung durchführen können.