ATS Diagnostic

 

Was ist ATS?

ATS wurde von Apple in den Versionen iOS 9.0 und OS X 10.11 eingeführt. Ist es aktiviert, müssen Anwendungen, die auf diesen Betriebssystemen laufen, eine sichere HTTPS-Verbindung nutzen anstatt Standard-HTTP. So werden Nutzerdaten beim Transfer verschlüsselt um sicherzustellen, dass sie durch Verwendung von Perfect Forward Secrecy (PFS) auch sicher bleiben.

 

HTTPS setzt sich aus HyperText Transfer Protocol (HTTP) und Security Socket Layer (SSL) zusammen. Es ist ein weitverbreitetes Internet Protokoll für sichere Kommunikation über ein Computernetzwerk. Wenn ein Client auf eine Website oder Web-Applikation zugreift, bietet HTTPS Authentifikation sowohl für die Website als auch den assoziierten Web-Server und verschlüsselt Daten zwischen dem Client und dem Server. Kurz gesagt, erschafft HTTPS einen sicheren Kanal in einem unsicheren Netzwerk und garantiert, dass die Website oder Web-Applikation, auf die zugegriffen werden soll, tatsächlich legitim ist.

 

Während HTTPS im Desktop-Browser meist neben der URL angezeigt wird, wenn man sich in seinen E-Mail- oder Onlinebanking-Account etc. einloggt, sind mobile Apps weniger transparent bezüglich der Sicherheit ihrer Verbindungen. Daher ist es oft schwer zu sagen, ob sie HTTP oder HTTPS benutzen. Hier kommt ATS ins Spiel.

 

Seit iOS 9 ist es standardmäßig aktiviert uns zwingt Apps, sich über HTTPS mit Web-Diensten zu verbinden.

 

 

Nutzen Sie ATS, zum Schutz Ihrer Kunden !

 

 

Wo ist die Herausforderung?

Apple drückt ATS zunehmend in den Markt. Die Möglichkeit für Entwickler, dieses Sicherheits-Feature auszuschalten, wird von Apple immer weiter reglementiert. Das bedeutet: Apps werden zunehmend an ATS fest gebunden. Aber nicht nur Apps müssen ATS unterstützten. Mit iOS 11 müssen auch MDM (Mobile - Device - Management) Systeme mit ATS zurecht kommen.

 

 

Wer sich jetzt denkt, dass hier lediglich Entwickler gefragt sind, hat sich geirrt. Damit ATS funktioniert müssen die Kommunikationsendpunte dies ebenfalls unterstützten. Dadurch, dass Entwickler gezwungen werden, ATS in ihre Apps zu integrieren und sich damit zu beschäftigen, müssen die Entwickler sich die Netzwerksituation genauer ansehen und bewusst damit umgehen. Sie haben keine Wahl mehr, was der Absicherung der Anwender zugutekommt. Genau hier hilft ATS Diagnostic.

 

 

Die Zeiten in denen App-Entwickler und Server-Administratoren
sich gegenseitig den "schwarzen Peter" bei der Anbindung
von Apps zuschieben sind vorbei !

 

 

 

Features von ATS Diagnostic

Diese App ist einmalig im weltweiten AppStore. Nur mit ATS Diagnostic bekommt der Entwickler aber auch der Server-Administrator ein Werkzeug in die Hand, die Funktionsfähigkeit von ATS vollumfänglich zu testen. Dabei ist es egal ob der betroffene Server (Endpunkt) frei im Internet verfügbar ist, oder nur im lokalen Netzwerk dem iOS-Endgerät zur Verfügung steht.

 

Hauptfunktionen von ATS Diagnostic sind...

  • Prüfen der Kommunikationsstrecke zwischen iOS-Gerät und Server (z.B. Dauer, Verbindungsart, usw.)
  • Prüfen der Serverkonfiguration (z.B. Encoding Einstellungen, usw.)
  • Prüfen der ATS-Konformität (z.B. Zertifikate, Schlüssellängen, Hash-Funktionen, usw.)

  

 

Headereinträge zur Verbesserung der Sicherheit

 

Seien es die Angreifbarkeit älterer TLS(SSL)-Protokolle, die Abhör- und Ausspähskandale der letzten Jahre oder einfach nur die permanente Gefahr eines Angriffs auf die Webseite unter Ausnutzung von Sicherheitslücken in der eingesetzten Software.

Alle diese Dinge bereiten sicher so manchem Webmaster oder Seitenbetrieber Kopfzerbrechen. Dass es die absolute Sicherheit nicht geben kann, ist wohl jedem klar, aber es gibt zahlreiche Punkte und Konfigurationsmöglichkeiten, um eine Webseite ein klein wenig sicherer zu machen.

 

Das Ziel sollte es aber dennoch sein, Angriffe möglichst „teuer“ zu machen. Dies bedeutet, je mehr Ressourcen (Zeit, Know-How, Hardware, Software-Tools etc.) es erfordert, um eine Lücke zu finden oder auszunutzen, umso geringer wird die Wahrscheinlichkeit einer erfolgreichen Attacke.

 

Daher kann diese iOS App genutzt werden um die wichtigsten Headereinträge zu prüfen ,zu diesen gehören unter anderem :

  • Strict Transport Security (HSTS): Mittels dieses Header-Eintrags informiert der Webserver, der HSTS unterstützen muss, den anfragenden Browser beim ersten Kontakt via HTTP/HTTPS darüber, dass alle Verbindungen zur Website künftig per SSL/TLS verschlüsselt werden sollen. Allerdings erfolgt keine automatische Umleitung von http auf https. Auch kann dadurch der erste Verbindungsaufbau zur Webseite allerdings weiterhin per http erfolgen. Dieser Headereintrag macht natürlich nur Sinn, wenn Ihr ein SSL-Zertifikat einsetzt. 
  • X-Content-Type-Options: Es existiert nur ein definierbarer Wert „nosniff“, der verhindert, dass Internet Explorer und Google Chrome unabhängig vom deklarierten Content-Type (z.B. text/html) nach weiteren möglichen MIME-Types suchen. Für Chrome gilt dies auch für das Herunterladen von Erweiterungen. Der Headereintrag reduziert die Belastung durch sog. Drive-by-Download-Attacken und Webseiten, die den Upload von Dateien unterstützen, die, wenn deren Namen geschickte gewählt wurden, vom Browser als ausführbare Datei oder dynamische HTML-Datei behandelt werden und damit Rechner mit Schadcode infizieren.
  • X-XSS-Protection: Dieser Header aktiviert die in den meisten aktuellen Browsern eingebauten Cross-Site-Scripting (XSS)-Filter. Zwar sind diese standardmäßig aktiviert, daher ist dieser Header nur dazu da, den Filter für Ihren Server wieder zu aktivieren, falls der Benutzer ihn abgeschaltet hat. 
  • X-Frame-Options: Ob einem Browser erlaubt wird, eine Seite in einem frame oder iframe darzustellen, legt dieser Headereintrag fest. Damit können sog. Clickjacking-Attacken vermieden werde, indem sichergestellt wird, dass Ihr Server nicht in eine anderen Webseite eingebettet wird.
  • ...

 

Laden Sie sich ATS Diagnostic noch heute. Fehlt Ihnen ein Feature ? Melden Sie sich einfach bei uns über das Kontaktformular.