F

Warum sollte man die Security für WebRTC erhöhen?

Auch wenn WebRTC nativ verschlüsselt ist, sollte man die Sicherheitsmaßnahmen verstärken. Unser Experte erläutert einzelne Sicherheitsvorkehrungen.

Muss die Security für WebRTC erhöht werden?

Es ist richtig, dass Web Real-Time Communications (WebRTC) verschlüsselt ist. Dennoch sind weitere Security-Maßnahmen notwendig. Die Internet Engineering Task Force (IETF) definiert WebRTC als „einen Satz an Protokollen und APIs, die Web-Entwickler verwenden, um Echtzeit-Kommunikations-Optionen in Ihre Websites und Anwendungen mit wenigen Zeilen JavaScript zu integrieren“. 

Die Datenströme von WebRTC sind verschlüsselt. Zudem erfolgt eine Authentifizierung über das Secure Real-Time Transport Protocol (SRTP). Die Schlüsselvereinbarung wird vom Datagram Transport Layer Security (DTLS) Protokoll für SRTP bereitgestellt (DTLS-SRTP).

Die Sicherheits-maßnahmen sollten auf jede beliebige Quelle ausgeweitet werden, die eingebetteten Code enthält.

Ohne Identifizierungsdienst eines Drittanbieters oder Zertifizierungsstellen sind WebRTC-Datenströme aber anfällig für Angriffe wie eine Man-in-the-Middle (MitM)-Attacke. In so einem Fall fangen die Angreifer die Kommunikation zwischen einem Anwender und einer Website ab.

Zum Beispiel bietet ZRTP: Media Path Key Agreement for Unicast Secure RTP Schutz vor MitM-Angreifern, indem es einen erweiterten Schlüssel mit einem Short Authentication String verwendet. Durch den Vergleich der beiden Zeichenketten verifizieren zwei Anwender, dass es keinen MitM-Angreifer gibt.

In einer Beschreibung der IETF wird erläutert, wie sich ZRTP über den WebRTC-Datenkanal nutzen lässt, um sich vor MitM für WebRTC-Datenströme zu schützen, indem DTLS-SRTP eingesetzt wird. Dies bietet Schutz gegen MitM-Angriffe, ohne dass der Browser ZRTP unterstützen muss oder Sie ein Plugin oder eine Erweiterung herunterladen müssen.

Darüber hinaus sollten die Sicherheitsmaßnahmen auf jede beliebige Quelle ausgeweitet werden, die eingebetteten Code enthält. Somit schützt man sich auch vor Denial of Service (DoS)- und anderen Angriffen, die die Kommunikation stören. Wie mit allen Dingen im Internet, müssen Sie die Übertragungen absichern, damit sie sich optimal vor Sicherheitslücken schützen.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im November 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close