HTTP-Header: Webseiten vor Spectre schützen

Eine Reihe neuer HTTP-Header ermöglicht es, Webseiten besser voneinander abzuschotten und damit Seitenkanalangriffe wie Spectre zu verhindern.

Eine Anleitung von veröffentlicht am
Neue HTTP-Header sorgen dafür, dass Webprozesse voneinander abgeschottet werden können. Das verhindert Spectre-Angriffe.
Neue HTTP-Header sorgen dafür, dass Webprozesse voneinander abgeschottet werden können. Das verhindert Spectre-Angriffe. (Bild: pxhere/CC0 1.0)

Um Webseiten vor Angriffen wie Spectre zu schützen, müssen sie besser voneinander abgeschottet werden. Doch das Web ist bisher so gebaut, dass Webseiten auf verschiedene Weise miteinander interagieren und externe Inhalte einbinden können. Um hier Lücken zu schließen, gibt es eine Reihe von neuen HTTP-Headern.

Die Sicherheitslücke Spectre, die im Januar 2018 bekanntwurde, hat scheinbare Gewissheiten in Sachen IT-Sicherheit erschüttert und gezeigt: Über Seitenkanäle wie die Geschwindigkeit von Cache-Zugriffen lässt sich unberechtigt Speicher auslesen. Seitdem wurden mehrfach Varianten dieser Angriffe entdeckt und viele der entwickelten Gegenmaßnahmen erwiesen sich als unzureichend.

Spectre-Lücken auch in Webbrowsern angreifbar

Ein Risiko durch Spectre und dessen Varianten besteht auch in Webbrowsern, da solche Lücken mittels Javascript angegriffen werden können. Eine großflächige Ausnutzung fand bislang nicht statt, da die Angriffe kompliziert sind, doch ein Risiko bleibt. Google hat zuletzt einen Proof of Concept präsentiert, mit dem ein Datenleck via Spectre zwischen Webseiten gezeigt wurde.

In einer ersten Reaktion hatten Browser nach der Entdeckung von Spectre verschiedene, als gefährlich eingeschätzte Features deaktiviert oder eingeschränkt. Shared-Array-Buffer-Objekte, die einen schnellen Direktzugriff auf Speicher ermöglichen, wurden deaktiviert, verschiedene Timer-Funktionen wurden in ihrer Genauigkeit eingeschränkt.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d) - Schwerpunkt: M365 & Exchange online
    über grinnberg GmbH, Stuttgart
  2. Informatiker / innen oder Physiker / innen (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Berlin, Bonn, Dresden
Detailsuche

Inzwischen gibt es ausgefeiltere Schutzmaßnahmen, die jedoch teilweise Änderungen bei der Webentwicklung erfordern. Wer die Maßnahmen alle umsetzt, kann den Zugriff auf die deaktivierten Funktionen wieder freischalten.

Webseiten werden in eigene Prozesse eingesperrt

Diese Schutzmaßnahmen zielen darauf ab, Webseiten voneinander zu isolieren. Bereits vor der Entdeckung von Spectre arbeiteten Entwickler von Google Chrome an einem Feature namens Site Isolation. Das sah vor, dass jede Webseite in einem abgeschotteten Render-Prozess läuft. Für Google war das ein Glücksfall: Das Feature eignete sich als Schutz vor Spectre und die Einführung wurde beschleunigt.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mozilla hat nachgezogen und mit Project Fission ebenfalls eine derartige Seitenisolierung implementiert. Diese Funktion ist bisher nicht standardmäßig aktiviert.

Um die Seitenisolierung zu perfektionieren, muss gewährleistet sein, dass eine Webseite nicht die Inhalte einer anderen einbinden kann. Genau das ist aber nicht einfach. Im Web ist es standardmäßig vorgesehen, Bilder, Javascript- oder CSS-Dateien von anderen Seiten einzubinden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Blockieren von Ladevorgängen anderer Hosts 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Verwandte Artikel
artikel-bild
Neue Zielgruppe
SAP will Software für Privatkunden anbieten
artikel-bild
Sicherheitslücke
Google zeigt funktionierenden Spectre-Exploit im Browser
artikel-bild
Cloudflare One
Cloudflare will Browser in der Cloud isolieren
Meistgelesen
artikel-bild
Elektroauto
Tesla Model 3 wird zum Kettenfahrzeug
artikel-bild
Lockdowns und Lieferkette
Kaum noch Apple-Macbooks erhältlich
artikel-bild
Renault
Fast alle Akkus aus dem Zoe sind noch funktionsfähig
Kommentarübersicht
Re: Verstehe den Sinn nicht
schnedan 01. Apr 2021

"Neuerdings werden ja sogar Spiele gestreamt" Jo, im schlimmsten Fall geht das dann halt...

Re: Da hat jemand abstraktion nicht verstanden.
negiup 01. Apr 2021

Teil der Übergangslösung ist das beschriebene Abschalten des SharedArrayBuffers und...

Danke dem Autor (kein Aprilscherz)
negiup 01. Apr 2021

Danke für den verständlichen Artikel! Für das Grundverständnis ist der sehr hilfreich...

Wieso noch mehr Header?
heutger 31. Mär 2021

Ich verstehe nicht, wieso man nicht so etwas in den bestehenden mächtigen CSP Header...

Aktuell auf der Startseite von Golem.de
Elektroauto
Tesla Model 3 wird zum Kettenfahrzeug

Tesla-Chef Elon Musk ist eingeladen, an der Probefahrt mit dem modifizierten Elektroauto teilzunehmen.

Elektroauto: Tesla Model 3 wird zum Kettenfahrzeug
Artikel
  1. Lockdowns und Lieferkette: Kaum noch Apple-Macbooks erhältlich
    Lockdowns und Lieferkette
    Kaum noch Apple-Macbooks erhältlich

    Apple kann kaum noch Macbook Pro und Macbook Air liefern. Die Gründe sind Probleme mit der Lieferkette und Lockdowns in China.

  2. Zoom und Teams: Tool bedeckt nackte Unterkörper in Videokonferenzen mit Hose
    Zoom und Teams
    Tool bedeckt nackte Unterkörper in Videokonferenzen mit Hose

    Ein Softwareentwickler unterhält sich in Videokonferenzen gern mit heruntergelassener Hose. Ein Tool bedeckt virtuell das Nötigste.

  3. 5G-Broadcast: Europaweiter 5G-Fernseh-Test beim Eurovision Song Contest
    5G-Broadcast
    Europaweiter 5G-Fernseh-Test beim Eurovision Song Contest

    Der Eurovision Song Contest ist ein Testlauf für Fernsehen über 5G-Netze. Dabei kommen Smartphone-Prototypen zum Einsatz.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week gestartet: Bis zu 650€ Rabatt • WD SSD 1TB (PS5-komp.) günstig wie nie: 129,90€ • Ryzen 5 5600X günstig wie nie: 199€ • Asus Gaming-Monitor 27" WQHD 165 Hz günstig wie nie: 299€ • Samsung Galaxy S20 FE 128 GB günstig wie nie: 359€ • MindStar (u. a. RTX 3090 1.779€) [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /