Skip to content

Drucksache: PHP Magazin 1.17 - Mit Proxy und Proxykonfiguration gegen HTTPS

Im PHP Magazin 1.2017 ist ein Überblick über Angriffe auf SSL/TLS erschienen.

Dass SSL nicht mehr ausreichend sicher ist und durch TLS in einer möglichst hohen Version ersetzt werden sollte ist seit längerem bekannt. Aber selbst dann sind Angriffe auf HTTPS möglich, und das ganz ohne TLS-Schwachstelle. Und zwar über das Web Proxy Auto-Discovery Protokoll (WPAD, auch "autoproxy" genannt) und die davon verwendeten Proxy Auto-Config (PAC) Dateien.

Die daüber möglichen Angriffe können gefährlich werden. Dass bisher relativ wenig passiert ist, könnte daran liegen, dass nicht nur die Sicherheitsforscher, sondern auch die Cyberkriminellen die möglichen Angriffe lange Zeit übersehen oder ignoriert haben. Es könnte aber auch sein, dass es Angriffe gab, sie aber nicht erkannt wurden. So eine bösartige PAC-Datei ist eine flüchtige Angelegenheit, sobald das betroffene Gerät in einem anderen Netz eine neue herunter lädt ist sie verschwunden.

Aber das ist eigentlich egal, was jetzt zählt, ist der Schutz der Geräte. Also, frei nach Peter Lustig: "WPAD ausschalten!" Oder, wenn das nicht möglich ist, WPAD schützen, wie es im Artikel beschrieben wird.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Keine Trackbacks