1. Kurzbeschreibung
Der Strict-Transport-Security Header ist nicht gesetzt. Wenn ein User einmal per HTTP initial aufschlägt, ist SSL-Stripping theoretisch möglich (siehe Erklärung im Bericht S.10). Das ist ein sauber dokumentierter Angriff.
In Cloud-Umgebungen mit erzwungenem HTTPS ist das Risiko geringer, aber nicht null. Besonders bei internen Admin-Oberflächen sollte HSTS Standard sein.
2. Bewertung
- Risiko: SSL-Stripping beim Initial-Request möglich.
- Angriffsvektor: Netzwerkangriff vor erstem HTTPS-Aufruf.
- Auswirkung: Abhören/Manipulation von Traffic.
- Realistische Bedrohung: Gering, aber vermeidbar.
3. Lösung
Header setzen: Strict-Transport-Security: max-age=31536000; includeSubDomains
Optional: preload, wenn die Domain dafür geeignet ist.
Wichtig: Nur setzen, wenn wirklich alles sauber HTTPS-only ist. Sonst sperren wir uns selbst aus.
4. Notizen
Nur im HTTPS-VHost setzen.