05.06.2015
Hash-Wert-Prüfung
1. Teil: „Firefox und Chrome bekommen neuen Skript-Schutz“
Firefox und Chrome bekommen neuen Skript-Schutz
Autor: Andreas Fischer
Shutterstock/GlebStock
Die Browser von Mozilla und Google sollen manipulierte Skripte in Zukunft erkennen und automatisch blockieren. Wir erklären, was die neue Sicherheitstechnik bringt und wie sie funktioniert.
Die Browser von Mozilla und Google sollen in naher Zukunft einen integrierten Skript-Schutz erhalten, der die Ausführung manipulierter Skripte verhindert. Die von François Marier, Senior Software Engineer bei Mozilla, auf einer Sicherheitskonferenz in Australien vorgestellte Technik erkennt Skripte an einem eindeutigen Hash-Wert.
Der sogenannte SRI-Check (Subresource Integrity) wird von Mitarbeitern von Mozilla, Google und Dropbox entwickelt. Er soll noch in diesem Monat in den Entwicklerversionen der beiden Browser integriert werden. In etwa drei Monaten wird er dann für alle Anwender zur Verfügung stehen. Bei Firefox wird das voraussichtlich Version 41 sein. Aktuell ist Firefox 38.0.5.
Der SRI-Check soll auch schützen, wenn es einem Angreifer zum Beispiel gelingt, den DNS-Server eines Anwenders zu manipulieren. Der Browser lädt dann möglicherweise Skripte von einer anderen Seite herunter als vom Entwickler einer Webseite eigentlich vorgesehen. Bei der Vielzahl an derzeit gefundenen Sicherheitslücken in DSL-Routern ist es nicht so unwahrscheinlich, dass es einem Hacker gelingt in einen Router einzudringen und die DNS-Einträge zu verändern.
2. Teil: „So schützt Sie die neue Technik
“
“
So schützt Sie die neue Technik
Das Ganze soll so funktionieren: Aktuelle Webseiten enthalten oft Skripte von Dritt-Anbieter-Seiten. Ein Entwickler, der künftig ein Skript von einer anderen Quelle, zum Beispiel von einem großen Content Delivery Network (CDN) einbindet, versieht diesen Eintrag mit dem Hash-Wert des Skripts.
Das sieht dann so aus:
<script src="https://example.com/example-framework.js"
integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg="
crossorigin="anonymous"></script>
integrity="sha256-C6CB9UYIS9UJeqinPHWTHVqh/E1uhG5Twh+Y5qFQmYg="
crossorigin="anonymous"></script>
Jedes Mal, wenn ein Besucher die Webseite aufruft und das Skript von dem CDN-Server geladen wird, vergleicht der Browser dann in Zukunft die beiden Hash-Werte: Den Hash-Wert, der im Quellcode der Webseite steht und den Hash-Wert, den das geladene Skript hat.
Wenn es einem Hacker gelingt, in den CDN-Server einzudringen und das Skript auszutauschen, verändert sich der Hash-Wert. Browser mit integriertem SRI-Check erkennen den Unterschied und blockieren automatisch das veränderte Skript.
3. Teil: „Aktuelle Erweiterungen zum Schutz vor gefährlichen Skripten
“
“
Aktuelle Erweiterungen zum Schutz vor gefährlichen Skripten
Bereits jetzt gibt es sehr gute Browser-Erweiterungen, die Sie vor gefährlichen Skripten und anderen Fremdinhalten schützen.
Noscript: Das verbreitetste Sicherheits-Add-on zum Schutz vor gefährlichen Skripten ist Noscript. Nach der Installation blockiert die Erweiterung zunächst alle Skripte. Weil viele Webseiten heutzutage ohne die integrierten Skripte aber kaum noch funktionieren, aktivieren Sie nach und nach alle Skripte von vertrauenswürdigen Webseiten. Eingebundene Skripte von dubiosen Quellen oder von etwa Werbenetzen lassen Sie einfach deaktiviert.
Adblock Plus: Eigentlich dient dieses Add-on dazu, Werbung auszufiltern. Es verbessert aber auch die Sicherheit beim Surfen, weil der integrierte Filter verhindert, dass manipulierte Banner geladen werden, über die Ihr PC verseucht werden kann.
Request Policy: Das Add-on verhindert, dass eine Webseite ohne Ihre Zustimmung Inhalte von anderen Seiten lädt. Moderne Webseiten sind allerdings oft so ineinander verschachtelt, dass das Add-on schnell nervt. Teilweise dauert es relativ lange, bis man die richtige Kombination aus eingebundenen und geblockten Quellen gefunden hat, damit man die Inhalte sehen kann. Zumal manche Seiten erst funktionieren, wenn man Inhalte in zweiter und dritter Ebene freigibt.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Studie
KI ist emotionaler als die meisten Menschen
Trotz der vielen nützlichen Möglichkeiten mindert laut einer Studie immer noch Misstrauen die Effektivität von Anwendungen der Künstlichen Intelligenz.
>>