Marcus
Aus ProgrammingWiki
Inhaltsverzeichnis |
HTTP (Hypertext Transfer Protocol)
Das Hypertext Transfer Protocol ist ein zustandsloses Protokoll zur Übertragung von Daten wie z.B. HTML auf der Anwendungsschicht über ein Rechnernetz. Mit diesem Netzwerkprotokollstandard können Webbrowser und Server durch den Austausch von Daten miteinander kommunizieren. HTTP wird auch als ein zustandsloses System bezeichnet, was bedeutet, dass es eine Verbindung bei Bedarf aktiviert. Man klickt auf einen Link, um eine Verbindung anzufordern und der Webbrowser sendet diese Anforderung an den Server, der durch Öffnen der Seite antwortet. Je schneller die Verbindung ist, desto schneller werden die Daten angezeigt. HTTP wird hauptsächlich eingesetzt, um Webseiten (Hypertext-Dokumente) aus dem World Wide Web (WWW) in einen Webbrowser zu laden . Es ist jedoch nicht prinzipiell darauf beschränkt und auch als allgemeines Dateiübertragungsprotokoll sehr verbreitet. HTTP folgt einem klassischen Client-Server-Modell, mit einem Client der die Verbindung eröffnet, indem er eine Anfrage macht und dann wartet, bis er eine Antwort erhält. Als "Application Layer Protocol (Protokoll der Anwenderschicht)" konzentriert sich HTTP auf die Anzeige der Informationen , kümmert sich aber weniger darum, wie diese Informationen von einem Ort zum anderen gelangen. Unglücklicherweise bedeutet dies, dass HTTP abgefangen und möglicherweise verändert werden kann, wodurch sowohl die Informationen als auch der Informationsempfänger angreifbar werden.
Zusammenfassung: HTTP regelt die Übermittlung von Daten im Internet nach dem Sender-Empfänger Modell. Es ist ein unverschlüsseltes und zustandsloses Verbindungsprotokoll. Mit HTTP übertragene Daten sind also nicht von Angriffen durch Dritte geschützt.
Funktionsweise von HTTP
Wie funktioniert HTTP? Die Funktionsweise von HTTP lässt sich am einfachsten anhand des Aufrufs einer Webseite erläutern:
Der Nutzer tippt in die Adresszeile seines Internet-Browsers example.com ein. Der Browser sendet eine entsprechende Anfrage, den HTTP-Request, an den zuständigen Webserver, der die Domäne example.com verwaltet. Normalerweise lautet der Request: „Sende mir bitte die Datei zu“. Alternativ kann der Client auch bloß fragen: „Hast du diese Datei?“. Der Webserver empfängt den HTTP-Request, sucht die gewünschte Datei (im Beispiel: die Startseite von example.com, also die Datei index.html) und sendet als Erstes den Header, der dem anfragenden Client durch einen Status-Code das Resultat seiner Suche mitteilt. Wenn die Datei gefunden wurde und der Client sie tatsächlich zugesendet haben will (und nicht nur wissen wollte, ob sie existiert), sendet der Server nach dem Header den Message Body, also den eigentlichen Inhalt. In unserem Beispiel ist dies die Datei index.html. Der Browser empfängt die Datei und stellt sie als Webseite dar.
HTTPS
Hypertext Transfer Protocol Secure (HTTPS, englisch für „sicheres Hypertext-Übertragungsprotokoll“) ist ein Kommunikationsprotokoll im World Wide Web, mit dem Daten abhörsicher übertragen werden können. Es stellt eine Transportverschlüsselung dar und nutzt eine Ende-zu-Ende-Verschlüsselung und Authentifizierung, wodurch es eine abhörsichere Verbindung zwischen dem Betreiber der Website und dem Browser zustande bringen kann. HTTPS wird somit zur Herstellung von Vertraulichkeit und Integrität in der Kommunikation zwischen Webserver und Webbrowser im World Wide Web verwendet. Entwickelt wurde das Protokoll ursprünglich von Netscape und zusammen mit SSL wurde es im Jahre 1994 erstmals in deren Browser veröffentlicht. Heute unterstützen alle gängigen Browser HTTPS. Die Installation zusätzlicher Software ist nicht notwendig.
Zusammenfassung Um die Sicherheit von Webseiten in voller Umfänglichkeit zu gewährleisten, gibt es das Kommunikationsprotokoll HTTPS. Technisch gesehen ist dieses gar kein eigenständiges Protokoll sondern ein Zusammenwirken aus HTTP und SSL bzw. TLS (Internetprotokoll + Sicherheitsprotokoll). HTTPS bietet also eine gesicherte und verschlüsselte Verbindung mit der Daten abhörsicher übertragen werden können.
Nutzung von HTTPS
Die Hauptanwendung für das Hypertext Transfer Protocol Secure ist die sichere Übertragung von Webseiten im Internet. Die Nutzung von HTTPS wird durch Suchanbieter wie Google zusätzlich forciert, da verschlüsselte Seiten mit besseren Positionen in den Ergebnislisten belohnt werden. Auch die zunehmende Verbreitung von offenen, für die Allgemeinheit nutzbaren WLANs trägt zur Verbreitung von HTTPS bei, da sich WLAN-User mit den Ende-zu-Ende-verschlüsselten Verbindungen vor unbefugtem Abhören anderer WLAN-Nutzer schützen können. Die Inhalte sind dann unabhängig vom WLAN-Protokoll verschlüsselt.
Einsatz von HTTPS
HTTPS wird oft auf Internetseiten benutzt, wo mit sensiblen Daten wie zum Beispiel Bankverbindungen in Online Shops gearbeitet wird. Das grüne Vorhangschlosssymbol sowie das grüne HTTPS und die ausführlichen Informationen zeigen dem Benutzer schnell, ob die Seite sicher oder unsicher ist.
Das HTTPS-Verfahren wird von allen Browsern unterstützt und ist somit eine Sicherheits-Technologie die nicht extra installiert werden muss. Übliche Websites verwenden lediglich das HTTP-Verfahren. Wenn es jedoch um persönliche Daten geht, wie beim Online-Banking oder in Online-Shops, verfügen diese über eine HTTPS-Verschlüsselung, auf die man achten sollte.
Fazit: Eine Website auf der man sensible Daten wie die Kontoverbindung angeben muss, sollten über HTTPS verschlüsselt sein. Ansonsten handelt es sich mit sehr hoher Wahrscheinlichkeit um einen unseriösen Anbieter.
Technik
Syntaktisch ist HTTPS identisch mit dem Schema für HTTP, die zusätzliche Verschlüsselung der Daten geschieht mittels SSL/TLS: Unter Verwendung des SSL-Handshake-Protokolls findet zunächst eine geschützte Identifikation und Authentifizierung der Kommunikationspartner statt. Anschließend wird mit Hilfe asymmetrischer Verschlüsselung oder des Diffie-Hellman-Schlüsselaustauschs ein gemeinsamer symmetrischer Sitzungsschlüssel ausgetauscht. Dieser wird schließlich zur Verschlüsselung der Nutzdaten verwendet.
Zusammengefasst dient die verschlüsselte Übertragung mittels HTTPS folgenden Zwecken: 1.Vertraulichkeit: Kein Dritter soll die Daten mitlesen können. 2.Integrität: Die Daten können während der Übertragung nicht unbemerkt verändert werden 3.Authentizität: Der Kommunikationspartner ist verifizierbar – dafür braucht man die Zertifikate, die auf die Domain ausgestellt sind
Unterschied HTTP vs. HTTPS
Einfach gesagt, das HTTPS-Protokoll ist eine Erweiterung von HTTP. Das "S" in der Abkürzung stammt vom Wort „Secure (sicher)“ und wird vom Transport Layer Security (TLS) [der Nachfolger von Secure Sockets Layer (SSL)] unterstützt, der Standard-Sicherheitstechnologie, die eine verschlüsselte Verbindung zwischen einem Webserver und einem Browser herstellt.
Ohne HTTPS werden alle Daten, die man auf der Website eingibt, wie z.B. Benutzername/Passwort, Kreditkarten- oder Bankdaten unverschlüsselt gesendet und sind daher anfällig für Abfangen oder Belauschen. Aus diesem Grund sollte man immer überprüfen, ob eine Website HTTPS verwendet, bevor man sensible Daten eingibt.
Zusätzlich zur Verschlüsselung der Daten, die zwischen Server und Browser übertragen werden, authentifiziert TLS auch den Server, mit dem man sich verbindet, und schützt die übertragenen Daten vor Manipulationen.
Die Verschlüsslung mithilfe von Sicherheitsprotokollen liefert der HTTPS einen sehr entschiedenen Vorteil gegenüber der HTTP. So sind Passwörter vor äußeren Eingriffen geschützter und Daten für Unbefugte schwer zugreifbar und somit sicherer und zu empfehlen. Dadurch ist die Nutzung einer HTTPS aber teurer für den Anbieter der Webseite.
Auch von Browsern und Unternehmen, beispielsweise Google wird ein Umschwung von HTTP zu HTTPS gefördert. Die Suchmaschine listet in ihrem Ranking, also der Reihenfolge der zum Suchbegriff gefundenen Webseiten, solche zuerst auf, welche mit HTTPS Verschlüsselung für sicher erklärt wurden.
Informationen, die via HTTP übermittelt werden, sind unverschlüsselt und erscheinen im Klartext. Für mehr Anonymität und sicheren Datenaustausch im Internet gibt es die verschlüsselte Variante des Protokolls - HTTPS (Hypertext Transfer Protocol Secure). Ob Webseiten sicher übertragen werden, erkennt man an der URL. In diesem Fall sollte am Anfang der URL "https://" statt "http://" stehen.
Vor- und Nachteile von HTTPS
+ Datenschutz im Internet
+ für die Nutzung ist keine zusätzliche Softwareinstallation von Nöten--> HTTPS kann ohne Probleme von jedem verwendet werden
+ Authentifizierung durch das Zertifikat schafft Vertrauen für potentielle Kunden von HTTPS
- Zusatzkosten bei steigendem Traffic (Nutzung) können entstehen
- Wegfallen von Zwischenspeicherungen
- schlechtere Performance bei Verwendung der SSL-Verschlüsselung --> Server muss deutlich mehr rechnen, wodurch sich die Antwortzeit erhöht
FAZIT Bei der Nutzung von Webseiten sollte man immer daurauf achten HTTPS geschützte und Verschlüsselte Seiten zu Nutzen, erst Recht wenn man persönliche Daten angibt.
Sicherheitsprotokolle
SSL
Für eine Verschlüsselung der Datenübertragung ist die SSL (Secure Sockets Layer) verantwortlich. Doch ist dieses 1995 von Netscape entwickelte Protokoll heute unsicher und weist große Sicherheitslücken auf. Von SSL Verschlüsslungen wird abgeraten.
TLS
Ein neues sicheres und effizienteres Verschlüsselungsprotokoll ist das TLS (Transport Layer Security). Dieses ist ein zuverlässigerer und vertrauenswürdigerer Nachfolger der SSL, welcher die Datenströme zwischen Client und Server verschlüsselt. TLS entstand 1999 aus der 3. Version von SSL. Oftmals hört man auch noch den Begriff SSL obwohl es sich eigentlich um die neuere Form TLS handelt. In der heutigen Zeit wird TLS vorallem in Verbindung mit HTTPS eingesetzt. Das TLS-Protokoll zielt in erster Linie darauf ab, den Datenschutz und die Datenintegrität (Korrektheit und Vollständigkeit von Daten) zwischen zwei oder mehr kommunizierenden Computeranwendungen zu gewährleisten.
Ziele von Sicherheitsprotokollen
Die Nutzung von der SSL/TLS verfolgt 3 Ziele:
1. Vertraulichkeit, Genutzt wird HTTPS zur Herstellung von Vertraulichkeit und Integrität in der Kommunikation zwischen Webbrowser (Client) und Webserver im World Wide Web. Erreicht wird dies durch Verschlüsselung und Authentifizierung. Wichtig bei der Nutzung von HTTPS ist, dass beide Seiten der Verbindung beim Aufbau der Kommunikation die Identität des Verbindungspartners überprüfen können.
2. Integrität der Daten, bedeutet dass die Kommunikation zwischen Webbrowser und Webserver nicht durch Dritte manipuliert werden kann. Diese Vorgänge garantieren Sicherheitsprotokolle.
3.Authentizität, steht für die Wahrheit, also die Sicherheit für Nutzer, dass die Webseite über die sie surfen auch zu einem existenten Webserver gehört und keine Betrugs-Masche ist. Diese Aufgabe ist wichtig für die SSL/TLS, da sie dem Kunden Schutz gibt.
