1. Kurzbeschreibung
Der Prebid Webservice ist zusätzlich zu HTTPS auch über unverschlüsseltes HTTP (Port 80) erreichbar. Wenn Port 80 offen ist und Tokens übertragen werden, ist das im Grunde ein Geschenk für jeden, der im Netzwerkverkehr sitzt. Ein JWT über HTTP ist kein Geheimnis mehr, sondern eine Postkarte. Besonders kritisch wird das in internen Netzen, VPN-Split-Tunnel-Szenarien oder wenn Entwickler lokal testen.
Das ist kein theoretisches Risiko, sondern ein klassischer Token-Abgriff durch Mitlesen.
2. Bewertung
- Risiko: Abgreifen von Access Tokens bei MITM-Position.
- Angriffsvektor: Netzwerkzugriff (intern/öffentlich).
- Auswirkung: Session-Übernahme durch Token-Diebstahl.
- Realistische Bedrohung: Relevant bei kompromittierten Netzen oder Fehlkonfigurationen.
3. Lösung
- Port 80 komplett schließen (kein Redirect, sondern hart blockieren).
- Falls ein Reverse Proxy (NGINX, Azure Front Door etc.) genutzt wird: nur HTTPS Listener konfigurieren.
- Optional: Strict TLS Versionen erzwingen (mind. TLS 1.2).
Falls komplexe Azure-Loadbalancer- oder Legacy-Setups: 1-2 Tage.
4. Notizen
TLS-Versionen prüfen (>=1.2).