Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
hsts [2013/06/28 09:20] – [Einstellung für Apache 2] bushhsts [2013/06/28 09:38] (aktuell) bush
Zeile 103: Zeile 103:
   * Achten Sie darauf, dass Sie sensible Verbindungen - dazu gehören grundsätzlich solche, bei denen ein Login erforderlich ist - von vornherein mit HTTPS aufrufen.   * Achten Sie darauf, dass Sie sensible Verbindungen - dazu gehören grundsätzlich solche, bei denen ein Login erforderlich ist - von vornherein mit HTTPS aufrufen.
   * Achten Sie auf das Vorhängeschloss im Adressfeld. Es signalisiert eine verschlüsselte Verbindung.   * Achten Sie auf das Vorhängeschloss im Adressfeld. Es signalisiert eine verschlüsselte Verbindung.
-  * Verwenden Sie im sensiblen Umfeld Browser, die HSTS unterstützen. Das Whitepaper in den Quellenangaben  am Ende der Seite enthält eine Liste der HSTS-fähigen Browser. +  * Verwenden Sie im sensiblen Umfeld Browser, die HSTS unterstützen. Das Whitepaper in den Quellenangaben [1] am Ende der Seite enthält eine Liste der HSTS-fähigen Browser. 
-  * Nutzen Siefalls möglich Browser-AddOns, die sichere Verbindungen erzwingen können. Damit entfällt die problematische Phase des ersten unsicheren Aufrufs, bevor HSTS greift (s. nächstes Kapitel!).+  * Nutzen Sie falls möglich Browser-AddOns, die sichere Verbindungen erzwingen können. Damit entfällt die problematische Phase des ersten unsicheren Aufrufs, bevor HSTS greift (s. nächstes Kapitel!).
  
 +\\
 +===== Das Firefox-AddOn "NoScript" =====
  
 +Das Firefox-AddOn "NoScript" ist primär dazu gedacht, den Nutzer vor unerwünschtem JavaScript zu schützen. Es ist aber auch noch auf einigen weiteren Gebieten der Web-Sicherheit aktiv, z.B. gegen Cross-Site Scripting (CSS) und kann eben auch HSTS gewissermaßen überflüssig machen, indem man an einer bestimmten Stelle Webadressen einträgt, zu denen eine HTTPS-Verbindung erzwungen werden muss.
 +
 +Die zum vorliegenden Thema passende Konfigurationsseite sieht so aus:
 +
 +{{:bilder-netzsicherheit:hsts:noscript.jpg|}}
 +
 +
 +Die Herstellerseite: **http://noscript.net/**
 +
 +
 +Diese Software ist sogar eine Spende wert!
 +
 +
 +
 +
 +\\
  
 ===== Quellen ===== ===== Quellen =====
  
 Zu empfehlen:\\ Zu empfehlen:\\
-http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\ \\ +[1] http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\ \\ 
-http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\ +[2] http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\ 
-http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\ +[3] http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\ 
-https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\ +[4] https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\ 
-https://www.zendas.de/themen/server/hsts_header.html\\+[5] https://www.zendas.de/themen/server/hsts_header.html\\
  
  

Zuletzt angesehen:

QR-Code
QR-Code HTTP Strict Transport Security (HSTS) (erstellt für aktuelle Seite)