Das Hyper Text Transfer Protokoll ist ein Protokoll der
Anwendungsschicht (vgl. Abbildung 2.2) und wurde für verteilte
Hypermedia-Informationssysteme entwickelt. HTTP wird im World-Wide-Web seit
1990 eingesetzt.
HTTP ist für den Datentransport zwischen Webserver und Client verantwortlich.
Wie bei SMTP (Abschnitt 2.15.1.1) gilt auch hier, daß das
HTTP-Protokoll selbst keine Bedrohung darstellt. Eine offensichtliche
Schwachstelle besitzt das Protokoll jedoch: alle Daten werden unverschlüsselt
übertragen. Dadurch kann ein Angreifer durch Mitlesen der Kommunikation
zwischen Webserver und Client in den Besitz vertraulicher Informationen
kommen. Die Daten, die über HTTP gesendet werden und die zugehörigen Programme
(Server und Client) stellen die eigentlichen Gefahren dar.
Durch einen einfachen Klick auf einen entsprechenden Link auf einer Webseite kann der Browser dazu veranlaßt werden, einen Download zu starten. Hier gelten die gleichen Sicherheitsrisiken wie in Abschnitt 2.15.3.2 Softwaredownload.
CGI - Common-Gateway-Interface - ermöglicht es Webservern, Daten an andere Programme weiterzugeben. CGI-Programme werden z.B. für Suchmaschinen verwendet: die eingegebenen Suchbegriffe werden an ein CGI-Programm übergeben, das dann mit einer Datenbank kommuniziert und das Suchergebniss in Form einer HTML-Seite an den Webserver zurückliefert. Diese CGI-Programme können Fehler enthalten, die sich ein Angreifer zu nutze machen kann.
Auch hier stellen die Programme (Server und Clienten) selbst ein Sicherheitsrisiko dar, weil sie nicht fehlerfrei sind. Als aktuelles Beispiel sei hier ein Fehler im Internet-Information Server der Firma Microsoft genannt: durch einen Buffer-Overflow können Angreifer eigenen Code ausführen lassen [CT-14/99] und [CA-99.07].