HTTP-Header erwartete Anzahl Zeilen

HTTP-Header erwartete Anzahl Zeilen

Marc Ruef
von Marc Ruef
Lesezeit: 5 Minuten

Einige unserer Kunden betreiben Hochsicherheitsumgebungen. In diesen soll und muss das Höchstmass an möglicher Sicherheit erreicht werden. Dies sind leider eine der wenigsten Umgebungen, in denen Proxies effektiv so gebraucht werden, wie sie ursprünglich gedacht wurden. Durch sie wird sodann eine genaue Protocol Inspection durchgesetzt und jegliche Abweichung der definierten Standards oder der erwarteten Formalitäten sanktioniert.

Eine Art der Analyse und Einschränkung betrifft die Anzahl der Header-Zeilen, die in einer HTTP-Anfrage durch einen Webbrowser zugelassen werden. Dieser und ähnliche Punkte führen immerwieder zu Diskussionen, welche Anzahl denn nun zu erwarten und entsprechend zuzulassen ist.

Im Rahmen des browserrecon project wird das Fingerprinting von HTTP-Clients durchgeführt. Dabei wird ebenfalls das Auftreten der Header-Zeilen begutachtet. Die bereitgestellte Online-Datenbank zeigt sodann auf, welche Art und Anzahl an Header die jeweiligen Implementierungen einsetzen. Entsprechend kann eine statistische Aussage dieser Diskussion zugeteilt werden.

Zeilen Anzahl Prozent Typisch
1 2 0.66%
2 7 2.33% WordPress 2.x
3 24 7.97% Amaya 1.x
4 36 11.96% Netscape Navigator 3.01
5 34 11.30% diverse
6 23 7.64% Internet Explorer 6.0
7 44 14.62% diverse
8 41 13.62% diverse
9 40 13.29% Mozilla Firefox 2.x
10 23 7.64% Mozilla Firefox 2.x
11 11 3.65% Mozilla Firefox 2.x
12 4 1.33%
13 5 1.66% Mobiltelefone

Es wurden 301 unterschiedliche Webbrowser-Implementierungen untersucht. Einige obskure Implementierungen verwenden lediglich eine Header-Zeile (0.66%). Die grösste je beobachtete Anzahl an Header-Zeilen umfasste 13 Stück. Lediglich 5 Webbrowser nutzen eine derart hohe Anzahl (1.66%). Der Durchschnitt der zu erwartenden Header-Zeilen beläuft sich damit auf 6.83 Stück. Die dargelegte Statistik zeigt die Distribution der Anzahl der genutzten Header-Zeilen auf.

HTTP-Header Anzahl Zeilen

Aus diesem Grund empfehlen wir, die maximale Anzahl der zu erwartenden Header-Zeilen in einer HTTP-Anfrage eines regulären Webbrowsers auf maximal zwischen 15 und 20 festzulegen. Dadurch können Angriffsversuche, die eine Vielzahl an Headern erfordern, eingeschränkt oder gar gänzlich verhindert werden.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv