HSTS: Sicherheitsfunktion erzeugt Datenschutzprobleme

von Michael Cyl

Unser Nutzungs- und Surfverhalten im Internet ist für viele Unternehmen – vor allem im Marketing-Bereich – von großem Interesse. Dabei geht es hauptsächlich um die Wiedererkennung respektive das Tracking der Nutzer, um ihnen passende Werbung anzuzeigen. Dass dafür u.a. Browser-Cookies genutzt werden, ist kein großes Geheimnis mehr. Damit ein Tracking der Benutzer auch ohne bzw. bei deaktivierten Cookies funktioniert, verwenden Werbe- und Tracking-Anbieter verstärkt sogenannte Device/Browser-Fingerprinting-Methoden. Eine neue Variante stellt z.B. das Tracking durch HSTS-Einträge dar.

HSTS-Verfahren

Das im Jahr 2012 eingeführte HTTP Strict Transport Security- oder kurz HSTS-Verfahren (RFC 6797) erlaubt es, die Nutzung eines Webangebots nur über sichere HTTPS-Verbindungen zu ermöglichen und dient in erster Linie als Maßnahme gegen sogenannte Man-in-the-middle-Angriffe: Sofern eine Webseite HSTS implementiert, werden aufrufende Browser veranlasst, anstatt unverschlüsselter HTTP-Anfragen während der gesamten Kommunikation nur verschlüsselte HTTPS-Verbindungen zu nutzen. Weiterhin akzeptieren die Browser keine ungültigen oder selbstsignierten SSL/TLS-Zertifikate, bei denen die Vertrauenswürdigkeit der Zertifikate nicht vollständig sichergestellt werden kann.

Damit das HSTS-Verfahren funktioniert und bei einem erneuten Webseitenaufruf automatisch das sichere HTTPS verwendet wird, muss sich der Browser des Benutzers merken, auf welchen Webseiten HSTS genutzt werden soll. Dafür werden die entsprechenden Einträge, ähnlich zu Cookies, in einer Browserdatenbank gespeichert. Anders als gewöhnliche Cookies werden die HSTS-Einträge allerdings aufgrund der eigentlichen Sicherheitsfunktion auch im privaten Modus des Browsers – mit Unterschieden zwischen den einzelnen Herstellern – aktiviert und können von den besuchten Webseiten überprüft werden ...

Zum vollständigen Artikel

Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK