Sicherheit des HTTP-Protokoll

Das HTTP Protokoll

Die gesendeten Daten-Pakete werden über beliebig viele nicht bekannte Server geleitet.
Das HTTP-Protokoll transportiert Daten in Klartext.
UserID und Paßwort zur Anmeldung an fremden Systemen werden ebenfalls im Klartext übermittelt.
Jeder Internet-Server-Betreiber kann die über seinen Server geleiteten Daten-Pakete einsehen (packet sniffer).
Dadurch besteht kein Schutz vor:
- Veröffentlichung (Geheimhaltung)
- Datenveränderung (Unversehrtheit/Integrität)
- Zufügung fingierter Pakete (Echtheit)

Basic Authentication Mechanismus

Paßwort und Username werden Stringverkettet und auf Anforderung base64-kodiert (ähnlich uuencode).
Nur Schutz vor "zufällig" unauthorisiertem Zugriff, da die Übertragung praktisch trotzdem unverschlüsselt erfolgt.

Erweiterungsvorschlag von Ari Luotonen

Digest Access Authentication (DAA)

Medicated Digest Authentication (MDA)

Server sendet zusätzlich zu den DAA Werten eine Liste, der Server denen er vertraut.

S-HTTP

Entwicklung durch Terisa Systems; Joint-venture von
- RSA Data Security Inc. und
- EIT Enterprise Technologies
Kompletter Vorschlag: The Secure Hypertext Protocol (S-HTTP)
Erweiterung des HTTP-Protokoll und der HTML-Sprache

SSL

Integriert im Netscape Navigator, dadurch große Verbreitung
Secure Socket Layer (SSL) Protokoll
Ersetzt TCP und bietet damit Schutz für alle aufsetzenden Internet-Protokolle wie HTTP, FTP, Telnet etc.

Gute Chancen für SSL

Unterstützung mehrerer Protokolle
Weite Verbreitung durch Netscape Navigator
Harter Alltagstest durch weite Verbreitung
Keine US-Exportbeschränkung für Verschlüsselungsverfahren durch frei verfügbare internationale Implementierung
Langfristig eventuell Zusammenführung von S-HTTP und SSL und Definition einer HTTP/x.y Spezifikation.