Aus Sicherheitsgründen sollte Software immer nur aus vertrauenswürdigen Quellen bezogen werden. Des Weiteren empfiehlt es sich, nur signierte Software einzusetzen und diese vor der Installation immer zu verifizieren. Wie genau eine solche Verifikation basierend auf PGP-Signaturen funktioniert, erfahrt ihr in diesem Beitrag. Als Anschauungsbeispiel dient hierfür die signierte F-Droid-App (alternativer Android-App-Store).
IT-Sicherheit: Software-Signaturen überprüfen & verifizieren
VeraCrypt: Schlüsseldatei (Keyfile) mit YubiKey verwenden
Zum Ver- und Entschlüsseln von VeraCrypt-Volumes können neben einem Passwort auch sogenannte Schlüsseldateien (Keyfiles) zur Erhöhung der Sicherheit verwendet werden. Die Schlüsseldatei (es können theoretisch auch mehrere sein) kann dann z.B. auf einem USB-Stick, oder einem Hardware-Security-Token gespeichert werden. In diesem Beitrag zeige ich euch wie ihr eure Schlüsseldatei auf einem YubiKey speichern könnt. Zum Entschlüsseln des VeraCrypt-Volumes muss dann immer der YubiKey eingesteckt sein und per PIN die Schlüsseldatei freigegeben werden.
HTTP-Strict-Transport-Security (HSTS): HTTP-Security-Header zum Schutz vor MITM-Angriffen
Mit dem HTTP-Security-Header HTTP-Strict-Transport-Security (HSTS) können sogenannte SSL-Stripping bzw. MITM-Angriffe verhindert werden.
Dem Webbrowser wird mittels dem HSTS-Header mitgeteilt, dass dieser die aufgerufene Webseite zukünftig für einen frei zu definierenden Zeitraum nur noch über eine verschlüsselte HTTPS-Verbindung abrufen soll. Dieses soll verhindern, dass ein Angreifer den Datenverkehr umleitet und manipuliert, so dass die angefragte Webseite anstatt über eine verschlüsselte über eine unverschlüsselte Verbindung übertragen wird und der Angreifer somit alle Daten im Klartext mitlesen kann.
In diesem Beitrag erfahrt ihr, wie HSTS für die eigene Webseite eingesetzt werden kann.
Content-Security-Policy (CSP): HTTP-Security-Header zum Schutz vor XSS- und Code-Injection-Angriffen
Der HTTP-Security-Header Content-Security-Policy (CSP) dient zum Erkennen von sowie dem Schutz vor schädlichen Cross-Site-Scripting (XSS), Clickjacking und anderen Code-Injection-Angriffen. Hierfür wird dem Webbrowser mitgeteilt, welche Daten (JavaScript, Grafiken, CSS etc.) von welchen Quellen geladen und ausgeführt werden dürfen. Des Weiteren besteht die Möglichkeit unverschlüsselte und somit unsichere Verbindungen via HTTP auf verschlüsselte HTTPS-Verbindungen zu upgraden bzw. generell zu blocken.
Wie ihr die Content-Security-Policy auf eurer Website bzw. in eurer Webandwendung einsetzt, erfahrt ihr in diesem Beitrag.
Referrer-Policy: HTTP-Security-Header zum Schutz vor Informationsabfluss
In diesem Beitrag stelle ich euch den HTTP-Security-Header Referrer-Policy vor. Mit diesem Security-Header lässt sich steuern, wie viel bzw. welche Referrer-Informationen von eurer Website oder Webanwendung weitergegeben werden. Hierdurch lässt sich der häufig ungewollte Abfluss von Informationen, der ggf. mit Sicherheits- sowie Datenschutzrisiken einhergeht, vermeiden.