Plattform für Internetsicherheit
Home » Security Headers » HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS)

HTTP headers: Strict Transport Security (HSTS)

Mit der HSTS Man-in-the-Middle-Angriffe abwenden:

Vermutlich hat unser Sicherheitsscan ermittelt, dass auf Ihrer Webseite der HTTP Strict Transport Security-Header fehlt. Wenn Sie diese Fehlermeldung erhalten, setzt Ihre Webseite kein HSTS ein. Das bedeutet, dass Ihre HTTPS-Weiterleitungen Ihre Besucher möglicherweise gefährden könnten.

Dieses Sicherheitsrisiko wird als mittelschwer eingestuft. Es ist jedoch weit verbreitet und bietet Angreifern eine einfache Angriffsfläche. Sollten Sie auf dieses Problem stoßen, ist es dringend ratsam, es zu beheben.

Durch das Hinzufügen des HSTS-Sicherheitsheaders zu Ihrem Server können Sie erzwingen, dass Ihre Webseite ausschließlich über das HTTPS-Protokoll geladen wird. Auf diese Weise schützen Sie Ihre Webseite vor Cookie-Hijacking und Protokollangriffen. Da Sie potenziell eine Umleitung während des Ladevorgangs entfernen, könnte Ihre Seite zudem schneller laden.

Empfohlene Anwendung von HSTS:

Um Ihre Besucher vor diesen Angriffen zu schützen, sollten Sie HTTP Strict Transport Security (HSTS) aktivieren. Dieses Protokoll zwingt den Browser dazu, direkte Anfragen zu ignorieren und deine Webseite über HTTPS zu laden.

Dieses Beispiel ist nützlich, wenn alle aktuellen und zukünftigen Subdomains HTTPS verwenden werden. Das folgende Beispiel ist eine sicherere Option:

PHP
header("Strict-Transport-Security: max-age=31536000; includeSubDomains");

HSTS begegnet den folgenden Bedrohungen:

1. Ein Benutzer setzt Lesezeichen oder gibt manuell http://example.com ein und ist einem Man-in-the-Middle-Angriff ausgesetzt.
HSTS leitet automatisch HTTP-Anfragen an die Ziel-Domain zu HTTPS um.

2. Eine Webanwendung, die ausschließlich HTTPS sein soll, enthält versehentlich HTTP-Links oder liefert Inhalte über HTTP aus.
HSTS leitet automatisch HTTP-Anfragen an die Ziel-Domain zu HTTPS um.

3. Ein Man-in-the-Middle-Angreifer versucht, den Datenverkehr eines Opferbenutzers mit einem ungültigen Zertifikat abzufangen und hofft, dass der Benutzer das schlechte Zertifikat akzeptiert.

GetSafe 360° Box

360° Website SecurityRundum-Absicherung

  • HTTP-Sicherheits-Header
  • Inhaltsicherheitsrichtlinie (CSP)
  • XSS-Absicherung

Ihr Internet-Auftritt ist nur so sicher wie die schwächste Stelle.

Schlüsselfertige Absicherung:

Unsere Experten erledigen diese Aufgabe komplett für Sie.
Statt 289,- € jetzt zum Vorzugspreis von 149,- €

Jetzt Starten »