HTTP-Header: Webseiten vor Spectre schützen

Eine Reihe neuer HTTP-Header ermöglicht es, Webseiten besser voneinander abzuschotten und damit Seitenkanalangriffe wie Spectre zu verhindern.

Eine Anleitung von veröffentlicht am
Neue HTTP-Header sorgen dafür, dass Webprozesse voneinander abgeschottet werden können. Das verhindert Spectre-Angriffe.
Neue HTTP-Header sorgen dafür, dass Webprozesse voneinander abgeschottet werden können. Das verhindert Spectre-Angriffe. (Bild: pxhere/CC0 1.0)

Um Webseiten vor Angriffen wie Spectre zu schützen, müssen sie besser voneinander abgeschottet werden. Doch das Web ist bisher so gebaut, dass Webseiten auf verschiedene Weise miteinander interagieren und externe Inhalte einbinden können. Um hier Lücken zu schließen, gibt es eine Reihe von neuen HTTP-Headern.

Die Sicherheitslücke Spectre, die im Januar 2018 bekanntwurde, hat scheinbare Gewissheiten in Sachen IT-Sicherheit erschüttert und gezeigt: Über Seitenkanäle wie die Geschwindigkeit von Cache-Zugriffen lässt sich unberechtigt Speicher auslesen. Seitdem wurden mehrfach Varianten dieser Angriffe entdeckt und viele der entwickelten Gegenmaßnahmen erwiesen sich als unzureichend.

Spectre-Lücken auch in Webbrowsern angreifbar

Ein Risiko durch Spectre und dessen Varianten besteht auch in Webbrowsern, da solche Lücken mittels Javascript angegriffen werden können. Eine großflächige Ausnutzung fand bislang nicht statt, da die Angriffe kompliziert sind, doch ein Risiko bleibt. Google hat zuletzt einen Proof of Concept präsentiert, mit dem ein Datenleck via Spectre zwischen Webseiten gezeigt wurde.

In einer ersten Reaktion hatten Browser nach der Entdeckung von Spectre verschiedene, als gefährlich eingeschätzte Features deaktiviert oder eingeschränkt. Shared-Array-Buffer-Objekte, die einen schnellen Direktzugriff auf Speicher ermöglichen, wurden deaktiviert, verschiedene Timer-Funktionen wurden in ihrer Genauigkeit eingeschränkt.

Stellenmarkt
  1. Oracle Datenbankadministrator/-in (m/w/d)
    GKD Recklinghausen, Recklinghausen
  2. Digitalkoordinator/in (w/m/d)
    Stadt NÜRNBERG, Nürnberg
Detailsuche

Inzwischen gibt es ausgefeiltere Schutzmaßnahmen, die jedoch teilweise Änderungen bei der Webentwicklung erfordern. Wer die Maßnahmen alle umsetzt, kann den Zugriff auf die deaktivierten Funktionen wieder freischalten.

Webseiten werden in eigene Prozesse eingesperrt

Diese Schutzmaßnahmen zielen darauf ab, Webseiten voneinander zu isolieren. Bereits vor der Entdeckung von Spectre arbeiteten Entwickler von Google Chrome an einem Feature namens Site Isolation. Das sah vor, dass jede Webseite in einem abgeschotteten Render-Prozess läuft. Für Google war das ein Glücksfall: Das Feature eignete sich als Schutz vor Spectre und die Einführung wurde beschleunigt.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mozilla hat nachgezogen und mit Project Fission ebenfalls eine derartige Seitenisolierung implementiert. Diese Funktion ist bisher nicht standardmäßig aktiviert.

Um die Seitenisolierung zu perfektionieren, muss gewährleistet sein, dass eine Webseite nicht die Inhalte einer anderen einbinden kann. Genau das ist aber nicht einfach. Im Web ist es standardmäßig vorgesehen, Bilder, Javascript- oder CSS-Dateien von anderen Seiten einzubinden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Blockieren von Ladevorgängen anderer Hosts 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


schnedan 01. Apr 2021

"Neuerdings werden ja sogar Spiele gestreamt" Jo, im schlimmsten Fall geht das dann halt...

negiup 01. Apr 2021

Teil der Übergangslösung ist das beschriebene Abschalten des SharedArrayBuffers und...

negiup 01. Apr 2021

Danke für den verständlichen Artikel! Für das Grundverständnis ist der sehr hilfreich...

heutger 31. Mär 2021

Ich verstehe nicht, wieso man nicht so etwas in den bestehenden mächtigen CSP Header...



Aktuell auf der Startseite von Golem.de
Fire TV Stick 4K Max im Test
Amazons bisher bester Streaming-Stick

Viel Streaming-Leistung für wenig Geld - das liefert der neue Fire TV Stick 4K Max. Es ist ganz klar Amazons bisher bester Streaming-Stick.
Ein Test von Ingo Pakalski

Fire TV Stick 4K Max im Test: Amazons bisher bester Streaming-Stick
Artikel
  1. Telekom-Internet-Booster: Feldtest bringt über 600 statt 50 MBit/s ins Haus
    Telekom-Internet-Booster
    Feldtest bringt über 600 statt 50 MBit/s ins Haus

    Die Telekom beginnt mit 5G DSL. Dafür wird im Haushalt eine Außenantenne benötigt.

  2. Pulsar Fusion: Mit Plastikmüll-Treibstoff in den Weltraum
    Pulsar Fusion
    Mit Plastikmüll-Treibstoff in den Weltraum

    Das Raumfahrt-Start-up Pulsar Fusion hat einen hybriden Treibstoff aus Plastikmüll entworfen. Die ersten Testzündungen waren erfolgreich.

  3. Steam: Landwirtschafts-Simulator 22 schlägt Battlefield 2042
    Steam
    Landwirtschafts-Simulator 22 schlägt Battlefield 2042

    Bessere Wertung, höhere Verkaufszahlen und mehr Multiplayer: Auf Steam gewinnt Landwirtschafts-Simulator 22 haushoch gegen Battlefield 2042.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD Ryzen 7 5800X 348€ • Nur noch heute bis 50% auf Amazon-Geräte • 3 für 2: Star Wars & Marvel • Bis 50% auf beyerdynamic + Gratis-Kopfhörer • Cyber Monday bei MM/Saturn (u. a. Xiaomi 11 Lite 5G 299€) • Alternate (u. a. be quiet CPU-Kühler 29,99€) [Werbung]
    •  /