Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

HTTP

Was ist HTTP?
HTTP (Hypertext Transfer Protocol) ist das grundlegende Kommunikationsprotokoll des World Wide Web. Es definiert eine client-server-basierte Architektur, bei der Clients wie Browser oder Anwendungen Anfragen an Server senden, um Ressourcen wie HTML-Seiten, Bilder oder Daten abzurufen. HTTP operiert verbindungslos (stateless), was bedeutet, dass jeder Request unabhängig vom vorherigen behandelt wird. Über HTTP werden Methoden wie GET, POST, PUT und DELETE verwendet, um Inhalte zu übertragen oder zu manipulieren. Es ist das Fundament für nahezu alle Webdienste und APIs.

Technischer Aufbau & Varianten

HTTP basiert auf Textformaten und nutzt standardisierte Komponenten:

  • HTTP-Methoden:
    GET, POST, PUT, DELETE, HEAD, OPTIONS, PATCH

  • HTTP-Statuscodes:
    200 OK, 301 Moved Permanently, 400 Bad Request, 404 Not Found, 500 Internal Server Error

  • Header-Felder:
    Content-Type, Authorization, Cache-Control, User-Agent, Content-Security-Policy

  • Sicherheitsrelevante Header:

    • Strict-Transport-Security (HSTS)

    • X-Content-Type-Options

    • X-Frame-Options

    • X-XSS-Protection

HTTP/1.1 wird zunehmend durch HTTP/2 und HTTP/3 (QUIC) ersetzt, die Features wie Header-Kompression und parallele Übertragung bieten.

Relevanz in der Praxis

HTTP ist allgegenwärtig:

  • Webzugriffe & APIs: Alle Websites, Webanwendungen und RESTful APIs basieren auf HTTP/HTTPS.

  • Sicherheitsmaßnahmen: Header-Konfiguration ist essenziell zur Vermeidung von Angriffen (XSS, Clickjacking).

  • Monitoring & Debugging: Tools wie Fiddler, Wireshark oder Browser-DevTools analysieren HTTP-Verkehr.

  • Performance: HTTP/2 verbessert Ladezeiten und ermöglicht Server Push.

Standards & regulatorische Anforderungen

  • RFC 7230–7235: Spezifizieren HTTP/1.1

  • RFC 7540: HTTP/2

  • RFC 9114: HTTP/3

  • BSI IT-Grundschutz: Netzwerksicherheit & sichere Webanwendungen

  • OWASP: Empfehlungen für sichere Header-Konfiguration

Verwandte Begriffe

Beispiel aus der Praxis

Ein Unternehmen stellte fest, dass trotz HTTPS-Nutzung diverse sicherheitsrelevante Header nicht gesetzt waren. Durch fehlendes X-Frame-Options konnte ein Angreifer die Website per Clickjacking überlagern. Erst die systematische Einführung einer Secure-Header-Policy inklusive Content-Security-Policy und Strict-Transport-Security beendete das Risiko und verbesserte die Web Security Score-Bewertung deutlich.

zum Glossar