• IT-Karriere:
  • Services:

HTTP-Header: Webseiten vor Spectre schützen

Eine Reihe neuer HTTP-Header ermöglicht es, Webseiten besser voneinander abzuschotten und damit Seitenkanalangriffe wie Spectre zu verhindern.

Eine Anleitung von veröffentlicht am
Neue HTTP-Header sorgen dafür, dass Webprozesse voneinander abgeschottet werden können. Das verhindert Spectre-Angriffe.
Neue HTTP-Header sorgen dafür, dass Webprozesse voneinander abgeschottet werden können. Das verhindert Spectre-Angriffe. (Bild: pxhere/CC0 1.0)

Um Webseiten vor Angriffen wie Spectre zu schützen, müssen sie besser voneinander abgeschottet werden. Doch das Web ist bisher so gebaut, dass Webseiten auf verschiedene Weise miteinander interagieren und externe Inhalte einbinden können. Um hier Lücken zu schließen, gibt es eine Reihe von neuen HTTP-Headern.

Die Sicherheitslücke Spectre, die im Januar 2018 bekanntwurde, hat scheinbare Gewissheiten in Sachen IT-Sicherheit erschüttert und gezeigt: Über Seitenkanäle wie die Geschwindigkeit von Cache-Zugriffen lässt sich unberechtigt Speicher auslesen. Seitdem wurden mehrfach Varianten dieser Angriffe entdeckt und viele der entwickelten Gegenmaßnahmen erwiesen sich als unzureichend.

Spectre-Lücken auch in Webbrowsern angreifbar

Ein Risiko durch Spectre und dessen Varianten besteht auch in Webbrowsern, da solche Lücken mittels Javascript angegriffen werden können. Eine großflächige Ausnutzung fand bislang nicht statt, da die Angriffe kompliziert sind, doch ein Risiko bleibt. Google hat zuletzt einen Proof of Concept präsentiert, mit dem ein Datenleck via Spectre zwischen Webseiten gezeigt wurde.

In einer ersten Reaktion hatten Browser nach der Entdeckung von Spectre verschiedene, als gefährlich eingeschätzte Features deaktiviert oder eingeschränkt. Shared-Array-Buffer-Objekte, die einen schnellen Direktzugriff auf Speicher ermöglichen, wurden deaktiviert, verschiedene Timer-Funktionen wurden in ihrer Genauigkeit eingeschränkt.

Stellenmarkt
  1. GK Software SE, Schöneck/Vogtland, Hamburg, St. Ingbert, Pilsen (Tschechien)
  2. Hottgenroth Software GmbH & Co. KG, Köln

Inzwischen gibt es ausgefeiltere Schutzmaßnahmen, die jedoch teilweise Änderungen bei der Webentwicklung erfordern. Wer die Maßnahmen alle umsetzt, kann den Zugriff auf die deaktivierten Funktionen wieder freischalten.

Webseiten werden in eigene Prozesse eingesperrt

Diese Schutzmaßnahmen zielen darauf ab, Webseiten voneinander zu isolieren. Bereits vor der Entdeckung von Spectre arbeiteten Entwickler von Google Chrome an einem Feature namens Site Isolation. Das sah vor, dass jede Webseite in einem abgeschotteten Render-Prozess läuft. Für Google war das ein Glücksfall: Das Feature eignete sich als Schutz vor Spectre und die Einführung wurde beschleunigt.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mozilla hat nachgezogen und mit Project Fission ebenfalls eine derartige Seitenisolierung implementiert. Diese Funktion ist bisher nicht standardmäßig aktiviert.

Um die Seitenisolierung zu perfektionieren, muss gewährleistet sein, dass eine Webseite nicht die Inhalte einer anderen einbinden kann. Genau das ist aber nicht einfach. Im Web ist es standardmäßig vorgesehen, Bilder, Javascript- oder CSS-Dateien von anderen Seiten einzubinden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Blockieren von Ladevorgängen anderer Hosts 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Top-Angebote
  1. (u. a. Alita - Battle Angel + 3D für 21,99€, Le Mans 66: Gegen jede Chance für 19,99€, Der...
  2. 689€ (Bestpreis)
  3. (u. a. WD Elements 10TB für 169€ (inkl. Direktabzug), Toshiba Canvio 4TB für 79€, Roccat Elo...
  4. (u. a. Darksiders 3 für 11,99€, Dirt Rally 2.0 für 4,50€, We Happy Few für 7,99€)

schnedan 01. Apr 2021 / Themenstart

"Neuerdings werden ja sogar Spiele gestreamt" Jo, im schlimmsten Fall geht das dann halt...

negiup 01. Apr 2021 / Themenstart

Teil der Übergangslösung ist das beschriebene Abschalten des SharedArrayBuffers und...

negiup 01. Apr 2021 / Themenstart

Danke für den verständlichen Artikel! Für das Grundverständnis ist der sehr hilfreich...

heutger 31. Mär 2021 / Themenstart

Ich verstehe nicht, wieso man nicht so etwas in den bestehenden mächtigen CSP Header...

Kommentieren


Folgen Sie uns
       


Honda E Probe gefahren

Der Honda E ist ein Elektro-Kleinwagen, dessen Design an alte Honda-Modelle aus den 1970er Jahren erinnert.

Honda E Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /