Kopplungsverbot
Das Oberlandesgericht Frankfurt hat in einer inzwischen rechtskräftigen Entscheidung vom 26. Juni diesen Jahres das sogenannte Kopplungsverbot gekippt. 1. Was ist das Kopplungsverbot? Es war unter Werbetreibenden ein gängiges Modell: Gibst Du mir Deine E-Mail-Adresse und die Einwilligung, Dir Werbung zu schicken, schenke ich Dir etwas. Zum Beispiel ein E-Book oder irgendein Gimmick. Unter der […]
Sender Policy Framework – SPF
Dieser Beitrag handelt von SPF (Sender Policy Framework). Mit SPF kann ein E-Mail-Server für den Versand von E-Mails mit einer bestimmten Absender-Adresse autorisiert werden. Damit lässt sich die Reputation eines E-Mail-Versenders wirksam steigern. E-Mail-Versender können in den Einträgen für die Domain-Namen, den so genannten DNS-Servern (DNS=Domain Name System) hinterlegen, welchen IP-Adressen es gestattet ist, E-Mails […]
Man-in-the-middle-Angriff
Dieser Beitrag behandelt Man-in-the-middle-Angriffe auf Internet-Verbindungen zwischen Server (Website) und Client (Browser). Bei Man-in-the-middle-Angriffen steht der Angreifer zwischen dem Webserver, der eine Website zur Verfügung stellt und dem Browser, mit dem diese aufgerufen wird. Gelingt es dem Angreifer, beiden vorzutäuschen, dass er der echte Kommunikationspartner ist, kann er nach belieben Daten abgreifen oder manipulieren. Beispielsweise könnte […]
HTTPS Strict Transport Security (HSTS)
Dieser Beitrag behandelt HTTPS Strict Transport Security (HSTS), eine Methode zur Abwehr von Man-in-the-middle-Angriffen im Internet. Man-in-the-middle-Angriffe in Internet-Verbindungen sind gefährlich und können teuer werden. Eine Erklärung dazu finden Sie hier. SSL Stripping Zu verhindern sind sie grundsätzlich mit einer SSL/TLS-Verschlüsselung. Allerdings haben findige Angreifer Mittel und Wege gefunden, auch die Verschlüsselung in ungeschützten Umgebungen, […]
HTTPS Public Key Pinning (HPKP)
Dieser Beitrag handelt von HPKP (HTTPS Public Key Pinning). HPKP verhindert wirksam „Man-in-the-middle“-Angriffe bei mit Zertifikaten geschützten Websites Eigentlich schützt ein SSL/TLS-Zertifikat wirksam vor dem so genannten „Man-in-the-middle“-Angriff auf eine Website (bzw. auf einen Webserver). Schlecht nur, wenn das Zertifikat korrupt ist, was in den letzten Monaten leider häufiger vorgekommen ist. Da wurden von einigen CAs […]
Die Sicherheit der eigenen Website testen ssllabs
Dieser Beitrag handelt von ssllabs.com, einer Website zur Überprüfung der Qualität von SSL/TLS-Servern. Es gibt eine sehr einfache Methode, die Sicherheit der eigenen Website zu testen. Das US-Amerikanische Unternehmen QUALYS stellt ein Forum zur Verfügung, das sich in IT-Sicherheitskreisen hohes Ansehen erarbeitet hat. ssllabs.com versteht sich als ein nicht-kommerzielles Forum, das die Sicherheit von Websites allgemein verbessern […]
Forward Secrecy
Dieser Beitrag handelt von Forward Secrecy, einer Methode, um verschlüsselte Kommunikation direkt nach Ende der Session unbrauchbar zu machen und damit vor späterer Entschlüsselung zu schützen. Wenn über Sicherheit von Websites gesprochen wird, betrachten wir vor allem das Hier und Heute. Aber das ist nicht alles. Es wird befürchtet, dass in exorbitant großen Mengen verschlüsselte […]
