HTTP-Strict-Transport-Security (HSTS): HTTP-Security-Header zum Schutz vor MITM-Angriffen
Mit dem HTTP-Security-Header HTTP-Strict-Transport-Security (HSTS) können sogenannte SSL-Stripping bzw. MITM-Angriffe verhindert werden.
Dem Webbrowser wird mittels dem HSTS-Header mitgeteilt, dass dieser die aufgerufene Webseite zukünftig für einen frei zu definierenden Zeitraum nur noch über eine verschlüsselte HTTPS-Verbindung abrufen soll. Dieses soll verhindern, dass ein Angreifer den Datenverkehr umleitet und manipuliert, so dass die angefragte Webseite anstatt über eine verschlüsselte über eine unverschlüsselte Verbindung übertragen wird und der Angreifer somit alle Daten im Klartext mitlesen kann.
In diesem Beitrag erfahrt ihr, wie HSTS für die eigene Webseite eingesetzt werden kann.