HTTPS Content Availabile via HTTP

HTTPS Content Availabile via HTTP

Copyright ┬ę Shutterstock / Robert Avgustin

Was bedeutet HTTPS Content Availabile via HTTP?

Ist HTTPS Content via HTTP verf├╝gbar, so verschl├╝sselt die Software keine sensiblen oder kritischen Informationen vor der Speicherung oder ├ťbertragung. Das Fehlen einer ordnungsgem├Ą├čen Datenverschl├╝sselung gibt die Garantien f├╝r Vertraulichkeit, Integrit├Ąt und Verantwortlichkeit ab, die eine ordnungsgem├Ą├č implementierte Verschl├╝sselung vermittelt.

Daher versucht dieser aktive Scanner über HTTP auf Inhalte zuzugreifen, auf die ursprünglich über HTTPS (SSL/TLS) zugegriffen wurde.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Phase: Architektur und Design

Stellen Sie sicher, dass die Verschl├╝sselung ordnungsgem├Ą├č in das Systemdesign integriert ist. Hierzu geh├Âren unter anderem:

  • Verschl├╝sselung, die zum Speichern oder ├ťbertragen privater Daten der Benutzer des Systems erforderlich ist
  • Verschl├╝sselung, die erforderlich ist, um das System selbst vor unbefugter Offenlegung oder Manipulation zu sch├╝tzen

Identifizieren Sie die unterschiedlichen Anforderungen und Kontexte f├╝r die Verschl├╝sselung:

  • Einweg (d.h. nur der Benutzer oder Empf├Ąnger muss den Schl├╝ssel haben). Dies kann unter Verwendung der Kryptografie mit einem ├Âffentlichen Schl├╝ssel oder anderen Techniken erreicht werden, bei denen der verschl├╝sselnde Teilnehmer (d.h. die Software) keinen Zugriff auf einen privaten Schl├╝ssel haben muss.
  • Zweiwege (d.h. die Verschl├╝sselung kann automatisch f├╝r einen Benutzer durchgef├╝hrt werden, der Schl├╝ssel muss jedoch verf├╝gbar sein, damit der Klartext von diesem Benutzer automatisch wiederhergestellt werden kann). Dies erfordert die Speicherung des privaten Schl├╝ssels in einem Format, das nur vom Benutzer (oder m├Âglicherweise vom Betriebssystem) in einer Weise wiederhergestellt werden kann, die von anderen nicht wiederhergestellt werden kann.

Gehen Sie bei der Bedrohungsmodellierung oder anderen Techniken davon aus, dass Daten durch eine separate Schwachstelle gef├Ąhrdet werden k├Ânnen, und bestimmen Sie, wo die Verschl├╝sselung am effektivsten ist. Stellen Sie sicher, dass Daten, die privat sein sollten, nicht unbeabsichtigt mit Schwachstellen wie unsicheren Berechtigungen verf├╝gbar gemacht werden.

Phase: Implementierung

Wenn Sie von der Industrie anerkannte Techniken verwenden, wenden Sie sie richtig an. K├╝rzen Sie den Prozess nicht ab, indem Sie ressourcenintensive Schritte ├╝berspringen. Diese Schritte sind oft wichtig, um g├Ąngige Angriffe zu verhindern.

Andere Informationen

Es besteht eine ├╝berlappende Beziehung zwischen der unsicheren Speicherung vertraulicher Informationen und der fehlenden Verschl├╝sselung vertraulicher Informationen. Verschl├╝sselung wird h├Ąufig verwendet, um zu verhindern, dass ein Angreifer die sensiblen Daten liest. Die Verschl├╝sselung verhindert jedoch nicht, dass der Angreifer die Daten l├Âscht oder ├╝berschreibt.

Allgemeiner Schwachstellen-Datenbanklink

Wenn Sie noch Fragen bez├╝glich des Themas haben, dann k├Ânnen Sie sich gerne weiter ├╝ber die Seite der CWE Organisation dar├╝ber weiter informieren.

Zur Seite

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte