HSTS ist ein Websicherheits-Antwortheader. Der Name ist ein Akronym für „HTTP Strict Transport Security“. Die Funktion des HSTS-Headers besteht darin, Browser dazu zu zwingen, sich über HTTPS mit Websites zu verbinden.
Tipp: HTTPS verwendet Verschlüsselung, um Ihre Webverbindung vor Hackern zu schützen, die versuchen, sie zu ändern oder zu überwachen. HTTP verfügt nicht über diese Schutzmaßnahmen, sodass ein Hacker an der richtigen Stelle Ihren HTTP-Datenverkehr überwachen und ändern könnte.
Ein Web-Antwort-Header ist ein Stück Metadaten, das vom Server gesendet wird, wenn er auf Web-Anfragen antwortet. Eine Teilmenge dieser Header wird oft als Sicherheits-Header bezeichnet, da ihr Zweck darin besteht, die Sicherheit der Website und des Benutzers zu erhöhen.
Der HSTS-Header besteht aus zwei obligatorischen und zwei optionalen Teilen. Der Header-Name „Strict-Transport-Security“ und dann der „max-age“-Operator und der Wert sind beide obligatorisch. Manchmal wird auch ein anderes Operatorpaar verwendet, „includeSubDomains“ und „preload“.
Wenn der Browser eine HTTPS-Antwort mit dem HSTS-Header empfängt, wird er angewiesen, sich mit dieser Website und allen darauf befindlichen Ressourcen ausschließlich über HTTPS für die Dauer des „Max-Age“-Timers zu verbinden. „Max-Alter“ ist eine Variable, die beschreibt, wie lange eine Einstellung vom Browser gespeichert werden muss. Der Wert von „max-age“ wird in Sekunden angegeben, der empfohlene Wert ist „31536000“, was einem Jahr entspricht.
Die Idee ist, dass der Browser während der Dauer dieses Timers, der bei jedem nachfolgenden Seitenladen zurückgesetzt wird, eine HTTPS-Verbindung benötigt und alle HTTP-Ressourcen ablehnt. Dies schützt vor Person-in-the-Middle-Angriffen, bei denen ein Hacker zwischen Ihnen und dem Webserver die erhaltenen Antworten manipulieren kann.
Der wichtigste Punkt, an dem Sie dadurch geschützt werden, ist die erste Verbindung. Wenn Sie eine Verbindung zu einer Website herstellen, können Sie normalerweise die HTTP-Website anfordern und dann zur HTTPS-Website weitergeleitet werden. Leider könnte ein Hacker in einer Person-in-the-Middle-Position dieses Upgrade auf HTTPS verhindern und dann Ihre Aktivitäten auf der Website stehlen oder überwachen. Sobald der HSTS-Header jedoch vom Browser erkannt wurde, stellt Ihr Browser bereits die erste Verbindung über HTTPS her und schützt Sie so vor Hackern.
HSTS verhindert auch, dass unsichere Ressourcen geladen werden, die auch von einem Angreifer böswillig modifiziert werden könnten, wenn sie über HTTP bereitgestellt werden.
Mit dem Operator „includeSubDomains“ wird angegeben, dass der Header auch für alle Subdomains der Website gelten soll.
Sie werden vielleicht feststellen, dass HSTS Sie immer noch nicht schützt, wenn Sie sich zum ersten Mal mit einer Website verbinden. Hier kommt der „Preload“-Operator ins Spiel. Webseiten können sich zur Aufnahme in die HSTS-Preload-Liste anmelden, der „Preload“-Operator ist in diesem Fall ein Pflichtindikator. Die HSTS-Preload-Liste wird regelmäßig aktualisiert und im Browser gespeichert. Wenn eine Site darin enthalten ist, wendet der Browser die HSTS-Schutzmaßnahmen darauf an. Dies geschieht sogar bei der allerersten Verbindung, bevor der Browser jemals den HSTS-Antwortheader gesehen haben könnte.
Tipp: Ein „Max-Alter“ von mindestens einem Jahr ist erforderlich, um der HSTS-Preload-Liste hinzugefügt zu werden.
Einer der Hauptpunkte von HSTS ist, dass bei Problemen mit der HTTPS-Verbindung eine Fehlermeldung angezeigt wird. Als zusätzliche Sicherheitsvorkehrung sollen Benutzer HSTS-Fehlermeldungen nicht umgehen können, wie dies bei normalen HTTPS-Fehlern der Fall wäre.
Leider kann dies zu Problemen führen, wenn ein Unternehmen HSTS einführt, bevor die gesamte Website und alle darauf verwendeten Ressourcen HTTPS unterstützen. In diesem Fall werden den Benutzern HSTS-Sicherheitsfehlermeldungen angezeigt, die sie nicht umgehen können, was im Wesentlichen die Website vollständig zerstört. Das Schlimmste daran ist, dass das einfache Entfernen des HSTS-Headers das Problem für diese Benutzer nicht behebt, da ihr Browser weiterhin HSTS für das potenziell monatelange „Max-Alter“ erzwingt.
Daher ist es von entscheidender Bedeutung, dass bei der ersten Bereitstellung des Headers ein kurzes „max-age“ verwendet wird. Wenn es Probleme gibt, bleiben diese nur für kurze Zeit bestehen, nachdem sie entdeckt wurden. Erst wenn Sie sicher sind, dass Ihre Website vollständig HSTS-kompatibel ist, sollten Sie einen langen HSTS-Timer konfigurieren.
Tipp: Es ist auch möglich, ein „max-age“ von 0 festzulegen, dies entfernt den gespeicherten HSTS-Eintrag im Wesentlichen von jedem, der ihn sieht. Dies kann hilfreich sein, wenn ein Problem auftritt, aber es betrifft nur Benutzer, wenn sie es erneut versuchen.
Chrome zeigt Ihnen standardmäßig nicht die vollständige URL an. Dieses Detail interessiert Sie vielleicht nicht so sehr, aber wenn Sie aus irgendeinem Grund die Anzeige der vollständigen URL benötigen, finden Sie hier detaillierte Anweisungen, wie Sie Google Chrome dazu bringen, die vollständige URL in der Adressleiste anzuzeigen.
Reddit hat im Januar 2024 sein Design erneut geändert. Das neue Design ist für Benutzer von Desktop-Browsern sichtbar und schränkt den Haupt-Feed ein, während gleichzeitig Links bereitgestellt werden
Das Eingeben Ihres Lieblingszitats aus Ihrem Buch auf Facebook ist zeitaufwändig und voller Fehler. Erfahren Sie, wie Sie mit Google Lens Text aus Büchern auf Ihre Geräte kopieren.
Wenn Sie mit Chrome arbeiten, können Sie manchmal nicht auf bestimmte Websites zugreifen und erhalten die Fehlermeldung „Server-DNS-Adresse konnte in Chrome nicht gefunden werden“. Hier erfahren Sie, wie Sie das Problem beheben können.
Erinnerungen waren schon immer das größte Highlight von Google Home. Sie machen unser Leben sicherlich einfacher. Lassen Sie uns einen kurzen Überblick darüber geben, wie Sie Erinnerungen auf Google Home erstellen, damit Sie wichtige Besorgungen nie verpassen.
So ändern Sie Ihr Passwort für den Streaming-Videodienst Netflix mit Ihrem bevorzugten Browser oder Ihrer Android-App.
Erhalten Sie die Meldung „Etwas ist schiefgelaufen?“ Beim Zugriff auf Twitter in Google Chrome auf Ihrem Computer tritt die Fehlermeldung „Versuchen Sie es neu zu laden“ auf.
Beim Versuch, sich bei Ihrem Snapchat-Konto anzumelden, werden Sie mit einer Fehlermeldung und einem C14A-Code begrüßt. Möglicherweise sind die Server der Plattform ausgefallen, was überall zu Anmeldeproblemen führen kann.
Die Idee, Videospiele zu entwickeln, gefällt vielen. Der eigentliche Prozess ist jedoch entmutigend, insbesondere wenn man ein Programmieranfänger ist.
Vielleicht möchten Sie Ihre YouTube-Videos auf Instagram teilen, um Ihre Marke auszubauen und Engagement zu generieren. Aber wie teilen Sie YouTube-Videos in Ihrer Instagram-Story? Es gibt keine Möglichkeit, ein YouTube-Video direkt in Ihrer Instagram-Story zu teilen, aber es gibt eine Möglichkeit, dies zu umgehen.
