Specific Criticism of CVSS4
Marc Ruef
Einige unserer Kunden betreiben Hochsicherheitsumgebungen. In diesen soll und muss das Höchstmass an möglicher Sicherheit erreicht werden. Dies sind leider eine der wenigsten Umgebungen, in denen Proxies effektiv so gebraucht werden, wie sie ursprünglich gedacht wurden. Durch sie wird sodann eine genaue Protocol Inspection durchgesetzt und jegliche Abweichung der definierten Standards oder der erwarteten Formalitäten sanktioniert.
Eine Art der Analyse und Einschränkung betrifft die Anzahl der Header-Zeilen, die in einer HTTP-Anfrage durch einen Webbrowser zugelassen werden. Dieser und ähnliche Punkte führen immerwieder zu Diskussionen, welche Anzahl denn nun zu erwarten und entsprechend zuzulassen ist.
Im Rahmen des browserrecon project wird das Fingerprinting von HTTP-Clients durchgeführt. Dabei wird ebenfalls das Auftreten der Header-Zeilen begutachtet. Die bereitgestellte Online-Datenbank zeigt sodann auf, welche Art und Anzahl an Header die jeweiligen Implementierungen einsetzen. Entsprechend kann eine statistische Aussage dieser Diskussion zugeteilt werden.
Zeilen | Anzahl | Prozent | Typisch |
---|---|---|---|
1 | 2 | 0.66% | – |
2 | 7 | 2.33% | WordPress 2.x |
3 | 24 | 7.97% | Amaya 1.x |
4 | 36 | 11.96% | Netscape Navigator 3.01 |
5 | 34 | 11.30% | diverse |
6 | 23 | 7.64% | Internet Explorer 6.0 |
7 | 44 | 14.62% | diverse |
8 | 41 | 13.62% | diverse |
9 | 40 | 13.29% | Mozilla Firefox 2.x |
10 | 23 | 7.64% | Mozilla Firefox 2.x |
11 | 11 | 3.65% | Mozilla Firefox 2.x |
12 | 4 | 1.33% | – |
13 | 5 | 1.66% | Mobiltelefone |
Es wurden 301 unterschiedliche Webbrowser-Implementierungen untersucht. Einige obskure Implementierungen verwenden lediglich eine Header-Zeile (0.66%). Die grösste je beobachtete Anzahl an Header-Zeilen umfasste 13 Stück. Lediglich 5 Webbrowser nutzen eine derart hohe Anzahl (1.66%). Der Durchschnitt der zu erwartenden Header-Zeilen beläuft sich damit auf 6.83 Stück. Die dargelegte Statistik zeigt die Distribution der Anzahl der genutzten Header-Zeilen auf.
Aus diesem Grund empfehlen wir, die maximale Anzahl der zu erwartenden Header-Zeilen in einer HTTP-Anfrage eines regulären Webbrowsers auf maximal zwischen 15 und 20 festzulegen. Dadurch können Angriffsversuche, die eine Vielzahl an Headern erfordern, eingeschränkt oder gar gänzlich verhindert werden.
Our experts will get in contact with you!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Our experts will get in contact with you!