Verbreitung von HSTS – Aktualisierung
Zur Beobachtung der Entwicklung von HSTS wurde im Januar und im Februar 2014 eine weitere Analyse zur Verbreitung von HSTS durchgeführt.
Das konkrete Vorgehen zur Durchführung der Analyse ist in Kapitel 1 im Dokument zur Verbreitung von HSTS beschrieben [1]. Zur eigentlichen Durchführung wurden zwei verschiedene Ansätze mit verschiedenen Datengrundlagen gewählt. Die folgenden Ergebnisse konnten mit den zwei verschiedenen Ansätzen gewonnen werden:
1. Auswertung mit Alexa-Liste der Top-1-Million von Oktober 2012
Zum einen wurde die Alexa-Liste der Top-1-Million-Webseiten eingesetzt, die bereits im Oktober 2012 bei der ursprünglichen Auswertung verwendet wurde. Dadurch soll ein direkter Vergleich ermöglicht und die Entwicklung wiedergespiegelt werden (siehe auch [1] für detaillierte Ergebnisse von 2012).
Die Auswertung wurde am 28. und 29.01.2014 durchgeführt. Die Verbreitung des HSTS Headers hat sich unter den untersuchten Seiten bis heute fast vervierfacht. Von ursprünglich 412 ist die Zahl der Webserver, die HSTS anbieten, nun auf insgesamt über 1.400 gestiegen. Die Verteilung der für die max-age-Direktive verwendeten Werte ist dabei nahezu gleich geblieben. Es wird in den meisten Fällen ein Wert von 31.536.000 Sekunden gesetzt, was einem Jahr entspricht.
Gegenüberstellung der Auswertung vom Oktober 2012 mit Januar 2014
2. Auswertung mit Alexa-Liste der Top-1-Million von Februar 2014
Neben der Gegenüberstellung der Auswertungen von Oktober 2012 und Januar 2014 wurde darüber hinaus die Alexa-Top-1-Million-Liste vom 01.02.2014 verwendet, um eine aktuelle Liste zu überprüfen und damit Änderungen in der Rangfolge gerecht zu werden. Die Auswertung wurde am 2. und 3. Februar 2014 durchgeführt. Die Verbreitung von HSTS beläuft sich in diesem Fall auf 1.510 Webseiten, die einen gültigen HSTS-Header ausliefern. Auch hier wird in den meisten Fällen der Wert 31.536.000 für die max-age-Direktive gewählt.
Auswertung Februar 2014
Referenzen:
[1] Verbreitung von HSTS http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf
Recent posts
Neuer Can I Trust Test Case: Browser returns secret out of pre-cached response in a CORS-Request
#1 – Neuer Can I Trust Test Case – Browser returns secret out of pre-cached response in a CORS-Request
Update – WordPress Author Security
Update: Unser WordPress Author Security Plugin ist jetzt auch im WordPress Plugin Store verfügbar.
WordPress Author Security
Wie können Sie aktiv das Enummerieren von Nutzernamen über die Autorenseiten von WordPress verhindern?
Pentest FAQ – #18 und #19 – Wie werden gefundene Schwachstellen bewertet? Und was ist der CVSS?
In unserer großen Application Security Penetration Test FAQ für Auftraggeber beantworten wir alles, was man vor, während und nach Beauftragung eines Application Security Penetrationstests wissen sollte.
Heute im Fokus: Fragen #18 und #19 – Wie werden gefundene Schwachstellen bewertet? Und was ist der CVSS?
Attack Afternoon – CSRF Gegenmaßnahmen #2
CSRF Gegenmaßnahmen #2: Ein anderer, zustandslosen Weg zum Schutz vor CSRF, ist die Methode des Double Submit Cookie.
