Dieser Artikel betrifft Sie nur, falls Sie Ihre Webseite per HTTPS betreiben.
Auf der aktuellen Black Hat-Konferenz wurde ein neuer Angriff gegen SSL/TLS vorgestellt, von dem unsere Kunden betroffen sein könnten: BREACH. Bei dem Angriff wird – vereinfacht gesagt – ein Zusammenspiel von HTTP-Komprimierung und SSL/TLS-Verschlüsselung ausgenutzt, um die Verschlüsselung auszuhebeln.
Der beste Schutz besteht darin, die HTTP-Komprimierung auszuschalten. Dies ist auch die Standardeinstellung auf unseren Servern. Sie kann jedoch per .htaccess
manuell aktiviert werden und es ist nicht auszuschließen, dass dies bei Ihnen unbemerkt geschah, sofern Sie Drittsoftware installiert haben.
Test
Ob Ihre Webseite betroffen ist, können Sie leicht mit Hilfe des curl
-Tools testen:
curl -I -H "Accept-Encoding: gzip" https://IHRE-WEBSEITE
Falls die Antwort kein Content-Encoding: gzip
enthält, ist Ihre Webseite nicht betroffen.
Sollten Sie keinen Rechner zur Verfügung haben, auf dem curl
installiert ist, können Sie sich auch einfach per SSH auf Ihrem Webserver anmelden und die Befehlszeile dort ausführen.
Schutz
Als grobe Faustregel gilt: Falls Sie
- eine Webseite mit HTTPS betreiben,
- diese Seite dynamisch im weitesten Sinn ist (Benutzereingaben verarbeitet etc.)
- und eine
.htaccess
-Datei mit einer Zeile ähnlichAddOutputFilterByType DEFLATE text/html text/plain text/xml application/javascript text/css
existiert,
empfehlen wir Ihnen alle Typen zu entfernen, die möglicherweise dynamisch generiert werden. In der Regel ist das text/html
.
Im Zweifelsfall konsultieren Sie Sicherheitsspezialisten oder entfernen Sie die Zeile komplett. Bitte haben Sie Verständnis, dass wir über diese allgemeinen Hinweise hinaus keine individuelle Sicherheitsberatung durchführen können.