Einige unserer Kunden betreiben Hochsicherheitsumgebungen. In diesen soll und muss das Höchstmass an möglicher Sicherheit erreicht werden. Dies sind leider eine der wenigsten Umgebungen, in denen Proxies effektiv so gebraucht werden, wie sie ursprünglich gedacht wurden. Durch sie wird sodann eine genaue Protocol Inspection durchgesetzt und jegliche Abweichung der definierten Standards oder der erwarteten Formalitäten sanktioniert.

Eine Art der Analyse und Einschränkung betrifft die Anzahl der Header-Zeilen, die in einer HTTP-Anfrage durch einen Webbrowser zugelassen werden. Dieser und ähnliche Punkte führen immerwieder zu Diskussionen, welche Anzahl denn nun zu erwarten und entsprechend zuzulassen ist.

Im Rahmen des browserrecon project wird das Fingerprinting von HTTP-Clients durchgeführt. Dabei wird ebenfalls das Auftreten der Header-Zeilen begutachtet. Die bereitgestellte Online-Datenbank zeigt sodann auf, welche Art und Anzahl an Header die jeweiligen Implementierungen einsetzen. Entsprechend kann eine statistische Aussage dieser Diskussion zugeteilt werden.

Es wurden 301 unterschiedliche Webbrowser-Implementierungen untersucht. Einige obskure Implementierungen verwenden lediglich eine Header-Zeile (0.66%). Die grösste je beobachtete Anzahl an Header-Zeilen umfasste 13 Stück. Lediglich 5 Webbrowser nutzen eine derart hohe Anzahl (1.66%). Der Durchschnitt der zu erwartenden Header-Zeilen beläuft sich damit auf 6.83 Stück. Die dargelegte Statistik zeigt die Distribution der Anzahl der genutzten Header-Zeilen auf.

Aus diesem Grund empfehlen wir, die maximale Anzahl der zu erwartenden Header-Zeilen in einer HTTP-Anfrage eines regulären Webbrowsers auf maximal zwischen 15 und 20 festzulegen. Dadurch können Angriffsversuche, die eine Vielzahl an Headern erfordern, eingeschränkt oder gar gänzlich verhindert werden.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

• https://www.computec.ch/projekte/browserrecon/
• https://www.computec.ch/projekte/browserrecon/?s=database&t=&f=header-order