Google / construktiv 5. November 2010

Die SSL-Erkenntnis

Einigermaßen sicherheitsbewusste Internetnutzer und Diensteanbieter wissen schon lange, dass Login-Daten vor Zugriffen durch Dritte geschützt werden müssen.

Viele Portale nutzen daher beim Login-Prozess eine gesicherte Verbindung, bei der die Kommunikation vom Server bis zum Browser verschlüsselt wird:

Hat der Benutzer sich korrekt ausgewiesen, erhält sein Browser i.d.R. über die gesicherte Verbindung einen Cookie (sozusagen eine gültige Eintrittskarte zur Website). Danach kann die Seite über eine normale, unverschlüsselte Verbindung weitergenutzt werden, da Username und Passwort nicht mehr übertragen werden müssen:

In falscher Sicherheit gewogen

Alles gut? Leider nein, denn diese weit verbreitete Praxis lässt eines außer Acht: So lange die aktive Sitzung besteht, „zeigt“ der Browser bei jedem Seitenaufruf dem Server die Cookie-Daten. Bei unverschlüsseltem Datenverkehr ist es einem Bösewicht ein leichtes, diese Cookie-Informationen abzufangen. So lange die Besuchersitzung nicht beendet wurde, kann der Cookie – wie eine gültige Eintrittskarte – dazu verwendet werden, um unter dem Namen eines anderen Benutzers Schindluder zu treiben.

Während die Möglichkeit solcher Attacken bereits länger bekannt ist, rückt die wahre Tragweite des Problems aktuell in den Mittelpunkt der Aufmerksamkeit. Zu verdanken ist dies vor allem der frei erhältlichen Firefox-Erweiterung „Firesheep“: Einmal installiert, lauscht sie im Netz nach Datenübertragungen anderer Browser und sammelt die Cookie-Daten argloser „Schafe“ ein. So kann ein Angreifer mit minimalem Aufwand beispielsweise im öffentlichen WLAN des nächstbesten Cafés die laufenden Sitzungen von anderen Surfern übernehmen. Ein Passwort auszuspähen ist dabei nicht nötig – und auch keine tiefgreifenden technischen Kenntnisse.

Abhilfe: Mehr Verschlüsselung

Wirksamen Schutz bietet hier nur die Nutzung von verschlüsseltem HTTP-Verkehr, der sich nicht nur auf den Login-Prozess beschränkt, sondern für sämtliche Zugriffe von eingeloggten Benutzern zur Anwendung kommt. Bislang schreckten hier die Betreiber großer Portale vor allem aus Kostengründen zurück. Der zusätzliche Rechenaufwand, so häufig die Befürchtung, bedürfe zusätzlicher Server, die natürlich Kosten verursachen.

Die gute Nachricht ist hier: Diese – sozusagen aus dem letzten Jahrtausend stammende – Befürchtung scheint inzwischen überholt zu sein. Während auf aktuellen Webservern im Regelfall reichlich CPU-Power zur Verfügung steht, haben sich die Flaschenhälse in andere Regionen (wie z.B. Geschwindigkeitslimitierungen durch Festplatten) verschoben. So berichtet beispielsweise Google-Engineer Adam Langley in seinem Blog, dass die Einführung von HTTPS für den gesamten Gmail-Dienst tatsächlich keinerlei zusätzliche Hardware erforderlich machte. Und er kommt zu einem interessanten Schluss:


If you stop reading now you only need to remember one thing: SSL/TLS is not computationally expensive any more.

Auch andere Websites ziehen nach: So berichtete kürzlich Microsoft, dass auch der Mail-Dienst Hotmail auf HTTPS umgestellt werden solle.

Fazit: War der Einsatz von SSL bislang eher eine Sache der „gefühlten“ Sicherheit, so wird das Betreiben einer Website ohne weitreichende Verschlüsselung künftig kaum noch denkbar sein. Website-Betreiber sind also gut damit beraten, hier entsprechend nachzurüsten.