HTTPS Content Availabile via HTTP
Inhaltsverzeichnis
Was bedeutet HTTPS Content Availabile via HTTP?
Ist HTTPS Content via HTTP verfügbar, so verschlüsselt die Software keine sensiblen oder kritischen Informationen vor der Speicherung oder Übertragung. Das Fehlen einer ordnungsgemäßen Datenverschlüsselung gibt die Garantien für Vertraulichkeit, Integrität und Verantwortlichkeit ab, die eine ordnungsgemäß implementierte Verschlüsselung vermittelt.
Daher versucht dieser aktive Scanner über HTTP auf Inhalte zuzugreifen, auf die ursprünglich über HTTPS (SSL/TLS) zugegriffen wurde.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Phase: Architektur und Design
Stellen Sie sicher, dass die Verschlüsselung ordnungsgemäß in das Systemdesign integriert ist. Hierzu gehören unter anderem:
- Verschlüsselung, die zum Speichern oder Übertragen privater Daten der Benutzer des Systems erforderlich ist
- Verschlüsselung, die erforderlich ist, um das System selbst vor unbefugter Offenlegung oder Manipulation zu schützen
Identifizieren Sie die unterschiedlichen Anforderungen und Kontexte für die Verschlüsselung:
- Einweg (d.h. nur der Benutzer oder Empfänger muss den Schlüssel haben). Dies kann unter Verwendung der Kryptografie mit einem öffentlichen Schlüssel oder anderen Techniken erreicht werden, bei denen der verschlüsselnde Teilnehmer (d.h. die Software) keinen Zugriff auf einen privaten Schlüssel haben muss.
- Zweiwege (d.h. die Verschlüsselung kann automatisch für einen Benutzer durchgeführt werden, der Schlüssel muss jedoch verfügbar sein, damit der Klartext von diesem Benutzer automatisch wiederhergestellt werden kann). Dies erfordert die Speicherung des privaten Schlüssels in einem Format, das nur vom Benutzer (oder möglicherweise vom Betriebssystem) in einer Weise wiederhergestellt werden kann, die von anderen nicht wiederhergestellt werden kann.
Gehen Sie bei der Bedrohungsmodellierung oder anderen Techniken davon aus, dass Daten durch eine separate Schwachstelle gefährdet werden können, und bestimmen Sie, wo die Verschlüsselung am effektivsten ist. Stellen Sie sicher, dass Daten, die privat sein sollten, nicht unbeabsichtigt mit Schwachstellen wie unsicheren Berechtigungen verfügbar gemacht werden.
Phase: Implementierung
Wenn Sie von der Industrie anerkannte Techniken verwenden, wenden Sie sie richtig an. Kürzen Sie den Prozess nicht ab, indem Sie ressourcenintensive Schritte überspringen. Diese Schritte sind oft wichtig, um gängige Angriffe zu verhindern.
Andere Informationen
Es besteht eine überlappende Beziehung zwischen der unsicheren Speicherung vertraulicher Informationen und der fehlenden Verschlüsselung vertraulicher Informationen. Verschlüsselung wird häufig verwendet, um zu verhindern, dass ein Angreifer die sensiblen Daten liest. Die Verschlüsselung verhindert jedoch nicht, dass der Angreifer die Daten löscht oder überschreibt.
Allgemeiner Schwachstellen-Datenbanklink
Wenn Sie noch Fragen bezüglich des Themas haben, dann können Sie sich gerne weiter über die Seite der CWE Organisation darüber weiter informieren.
Sie haben noch Fragen?