imported>BrunoBoehmler: /* Weblinks */ Tippfehler korrigiert

2026-01-21T22:33:14Z

Weblinks: Tippfehler korrigiert

Neue Seite

Das '''Web Proxy Auto-Discovery Protocol''' ('''WPAD'''; {{deS|„''Webproxy-Autoerkennungsprotokoll''“}}) ist ein Protokoll, mit dem Web-[[Client]]s (wie ein [[Webbrowser|Browser]]) zu verwendende Web-[[Proxy (Rechnernetz)|Proxys]] innerhalb eines [[Rechnernetz|Computernetzwerkes]] automatisch finden können, indem eine [[Proxy Auto-Config|Proxy autoconfiguration (PAC)]]-Datei unter einer erratbaren [[Uniform Resource Locator|URL]] gespeichert wird, beispielsweise <code><nowiki>http://wpad.example.com/wpad.dat</nowiki></code>. Das Dateiformat Proxy Auto-Config wurde ursprünglich von [[Netscape Communications]] im Jahre 1996 für den [[Netscape Navigator]] 2.0 entwickelt.<ref>{{cite web |url=http://wp.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-live.html |title=Navigator Proxy Auto-Config File Format |date=1996-03 |archiveurl=https://web.archive.org/web/20070307124216/http://wp.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-live.html |archivedate=2007-03-07 |url-status=dead |work=[[Netscape Navigator]] Documentation |accessdate=2015-02-10}}</ref>

WPAD macht es möglich, alle Web-[[Client]]s einer Organisation anzuweisen, die gleichen Proxyserver zu verwenden, ohne jeden einzeln in Handarbeit konfigurieren zu müssen.
Dies wird unter anderem von den verbreiteten Browsern ''[[Mozilla Firefox]], [[Google Chrome]]'' und ''[[Internet Explorer]]'' in den aktuellen Versionen, aber auch anderen Programmen und [[Desktop-Umgebung]]en wie [[Lomiri|Unity]] unterstützt.

== Geschichte ==
WPAD wurde von einem Konsortium der Firmen [[Inktomi Corporation]], [[Microsoft]], [[RealNetworks]] und [[Sun Microsystems]] (mittlerweile [[Oracle]]) entworfen. WPAD ist als [[Request for Comments#Internet-Draft|Internet Draft]] dokumentiert, welcher jedoch im Dezember 1999 abgelaufen ist.<ref>{{cite web |url=https://tools.ietf.org/html/draft-ietf-wrec-wpad-01 |title=Web Proxy Auto-Discovery Protocol (INTERNET-DRAFT) |author=Paul Gauthier, Josh Cohen, Martin Dunsmuir, Charles Perkins |date=1999-07-28 |work=[[Internet Engineering Task Force|IETF]] |language=en |accessdate=2015-02-10}}</ref> Nichtsdestotrotz wird WPAD weiterhin von allen verbreiteten Browsern unterstützt.<ref name="chrome">{{cite web |url=https://code.google.com/p/chromium/issues/detail?id=18575 |title=Chromium #18575: Non-Windows platforms: WPAD (proxy autodetect discovery) does not test DHCP |date=2009-08-05 |language=en |accessdate=2015-02-10}}</ref><ref name="firefox">{{cite web |url=https://bugzilla.mozilla.org/show_bug.cgi?id=356831 |title=Firefox #356831 - Proxy autodiscovery doesn't check DHCP (option 252) |date=2006-10-16 |language=en |accessdate=2015-02-10}}</ref> Im [[Internet Explorer]] wurde WPAD mit [[Internet Explorer#Versionen 5 und 5.5|Version 5]] eingeführt.

== Zusammenhang ==

Um alle Browser einer Organisation anzuweisen, ihren Proxy nach den gleichen Regeln auszusuchen, ohne alles von Hand konfigurieren zu müssen, sind zwei Technologien notwendig.

; Der [[Proxy Auto-Config|Proxy-Auto-Config]]-(PAC)-Standard
: Es wird eine zentrale Proxy-Konfigurationsdatei erstellt. (Näheres im betreffenden Artikel).
; Der Web-Proxy-Autodiscovery-Protocol-(WPAD)-Standard
: Damit wird sichergestellt, dass die einzelnen Browser diese Datei automatisch finden. Damit beschäftigt sich dieser Artikel.

Der WPAD-Standard definiert mehrere alternative Methoden, nach denen der Systemadministrator den Ort der Proxy-Konfigurationsdatei veröffentlichen kann:
* [[Dynamic Host Configuration Protocol]]s (DHCP)
* [[Domain Name System]]s (DNS A/CNAME, „Well Known Aliases“)
* [[Service Location Protocol]]s (SVRLOC/SLP) (optional)
* DNS SRV Records
* DNS TXT „service: URLs“

Bevor die erste Seite abgefragt wird, sendet ein [[Webbrowser]], der die Methode beherrscht, dem lokalen DHCP-Server eine DHCPINFORM-Anfrage und benutzt dann die URL, die ihm in der WPAD-Option der Antwort mitgeteilt wird. Hat der DHCP-Server die gewünschte Information nicht, so wird das DNS benutzt. Wenn beispielsweise der FQDN ''(Fully Qualified Domain Name)'' des Rechners <code>pc.department.branch.example.com</code> lautet, so wird der Browser nacheinander die folgenden URLs abfragen, bis er eine Proxy-Konfigurationsdatei findet.
* <code><nowiki>http://wpad.department.branch.example.com/wpad.dat</nowiki></code>
* <code><nowiki>http://wpad.branch.example.com/wpad.dat</nowiki></code>
* <code><nowiki>http://wpad.example.com/wpad.dat</nowiki></code>
* <code><nowiki>http://wpad/wpad.dat</nowiki></code>
* Unter Umständen auch <code><nowiki>http://wpad.com/wpad.dat</nowiki></code> (siehe [[#Sicherheit]])

== Anmerkungen ==

* DHCP hat eine höhere Priorität als DNS: Falls DHCP eine WPAD-URL liefert, wird keine DNS-Abfrage durchgeführt.
* Bei der DNS-Abfrage wird der erste Teil der Adresse (der vermutlich den client identifier darstellt) entfernt und durch <code>wpad</code> ersetzt. Dann bewegt es sich aufwärts in der Hierarchie, indem weitere Teile des Domainnamens entfernt werden, bis es eine WPAD-PAC-Datei findet oder die jeweilige Organisation verlassen wird.
* Der Browser versucht zu erraten, wo die Organisation verlassen wird. Diese Schätzung trifft bei Domains nach dem Muster <code>firma.com</code> oder <code>universitaet.edu</code> oft zu, liegt jedoch zum Beispiel bei <code>company.co.uk</code> falsch (siehe [[#Sicherheit]]).
* Bei der DNS-Abfrage lautet der Pfad der Konfigurationsdatei immer <code>wpad.dat</code>. Beim DHCP-Protokoll kann jegliche URL benutzt werden. Aus traditionellen Gründen lauten die Namen der PAC-Dateien oft <code>proxy.pac</code> (natürlich werden Dateien dieses Namens von der WPAD DNS-Suche ignoriert).
* DNS-Abfrage mit ''Microsoft Internet Explorer 6'' unter ''Windows XP'' sendet als <code>host</code> die IP-Adresse, daher sollte der WPAD-Webserver so konfiguriert sein, dass er als name-based-VirtualHost mit allen möglichen Hostnamen im HTTP/1.1-Request adressiert werden kann

Beispiel für Apache:
NameVirtualHost <code>192.168.xx.yy</code>
ServerName <code>wpad.sub.domain.tld</code>
ServerAlias <code>wpad</code>
ServerAlias <code>192.168.xx.yy</code>

* Der [[Multipurpose Internet Mail Extensions|MIME]]-Typ der Konfigurationsdatei muss lauten <code>application/x-ns-proxy-autoconfig</code>. ''Siehe auch:'' [[Proxy Auto-Config]].

== Prüfliste ==

Damit WPAD funktioniert, müssen einige Bedingungen erfüllt sein.
* Um DHCP zu benutzen, muss das DHCP so konfiguriert sein, dass es die <code>site-local</code>-Option 252 (<code>auto-proxy-config</code>) mit einem String-Wert von <code><nowiki>http://xxx.yyy.zzz.qqq/wpad.dat</nowiki></code> ausliefert, wobei <code>xxx.yyy.zzz.qqq</code> die [[IP-Adresse]] eines Webservers sein muss. (Es könnte besser sein, einen Domainnamen zu benutzen anstatt einer numerischen IP-Adresse). Nutzt man [[Microsoft]]s DHCP-Server, so sollte man die <code>server options</code> jedes Servers sowie die <code>scope options</code> eines jeden Bereiches überprüfen.
* Ferner muss, um DHCP zu nutzen, der Rechner ein DHCP Client sein. Mit anderen Worten, die Browser (Internet Explorer und Firefox) senden keine eigenen (neuen) DHCP Requests aus, sondern sie verwenden lediglich die zuvor (bei der initialen Zuweisung der IP-Adresse zur [[Netzwerkkarte]] per DHCP) zugewiesene WPAD Option 252. Wenn der Rechner in den Netzwerkkarten-Einstellungen DHCP _nicht_ aktiv hat, wird auch der Browser keinen DHCP Request versenden.
* Um DNS zu benutzen, ist ein DNS-Eintrag für einen Host namens WPAD erforderlich.
* bei ''Windows 2003 DNS Server'' mit MS09-008 die DNS-Sperrliste bearbeiten [https://support.microsoft.com/kb/968732]
* bei ''Windows 2008 DNS Server'' die DNS-Sperrliste bearbeiten [http://technet.microsoft.com/de-de/library/cc441517.aspx Technet-Artikel zu DNS-Sperrliste]
* Der WPAD-Host muss fähig sein, eine [[Webseite]] auszuliefern.
* In beiden Fällen muss der Webserver so konfiguriert werden, dass er .dat-Dateien mit dem [[Multipurpose Internet Mail Extensions|MIME]]-Typ <code>application/x-ns-proxy-autoconfig</code> ausliefert.
* Eine Datei namens wpad.dat muss im Hauptverzeichnis der WPAD-Seite liegen.
* Beispiele von PAC-Dateien im Artikel ''[[Proxy Auto-Config]].''

== Sicherheit ==

Während es die Konfiguration der Webbrowser einer Organisation vereinfacht, muss das WPAD-Protokoll mit Vorsicht behandelt werden, da bereits kleine Fehler folgenschwere Angriffe möglich machen können.
* Ein Angreifer innerhalb des Netzwerkes kann einen DHCP-Server einrichten, der die URL eines bösartigen PAC-Skriptes ausgibt.
* Hat die jeweilige Organisation eine Domain nach dem Muster <code>company.co.uk</code> oder <code>company.com</code> und es steht innerhalb des Netzwerkes kein <code><nowiki>http://wpad.company.co.uk/wpad.dat</nowiki></code> beziehungsweise <code><nowiki>http://wpad.company.com/wpad.dat</nowiki></code> zur Verfügung, so werden manche Browser bei <code><nowiki>http://wpad.co.uk/wpad.dat</nowiki></code> bzw. <code><nowiki>http://wpad.com/wpad.dat</nowiki></code> weiterfragen, weil sie gegebenenfalls keinen Unterschied zwischen der Domain der Organisation und einer Top-Level- oder landesweiten Domain machen. Die Zugriffe auf die Webserver von wpad-Domains wie <code><nowiki>http://wpad.com/</nowiki></code> zeigen dies sehr deutlich. Abhilfe schafft hier die [[Public Suffix List]], anhand derer Clients erkennen können, wann die Domain den Einflussbereich der Organisation verlässt.

Durch die WPAD-Datei kann ein Angreifer alle abfragenden Browser auf seine Proxys umleiten und dann jeglichen Verkehr abfangen und modifizieren.

Daher sollte sichergestellt werden, dass allen DHCP-Servern innerhalb einer Organisation vertraut werden kann und dass alle WPAD-Domains, die sich aus der jeweiligen Domain ergeben können, unter Kontrolle der jeweiligen Organisation sind.

Zusätzlich zu diesen Gefahren holt das WPAD im Grunde eine [[JavaScript]]-Datei, die auf allen Browsern des Systems ausgeführt wird, sogar wenn JavaScript in Webseiten deaktiviert wurde.

== Einzelnachweise ==
<references />

== Weblinks ==
* [http://tools.ietf.org/html/draft-ietf-wrec-wpad IETF 1999: ''Web Proxy Auto-Discovery Protocol'' – verfallener ''Internet Draft''] (englisch)
* [http://tools.ietf.org/html/draft-cooper-webi-wpad IETF 2000: ''Web Proxy Auto-Discovery Protocol'' – verfallener ''Internet Draft''] (englisch)
* [http://tools.ietf.org/html/draft-ietf-svrloc-wpad-template IETF 1999: ''The wpad Abstract Service Type'' – verfallener ''Internet Draft'' zum Auffinden der Web-Proxy-Autodiscovery-Konfigurationsdatei über das ''Service Location Protocol''] (englisch)
* {{Webarchiv |url=http://wpad.com/ |text=wpad.com – die Website, auf der fast alle unabgefangenen WPAD-Anfragen von .com-Domains landen |wayback=20090106112407}}
* https://www.fam-hauck.de/wiki/index.php/Automatische_Proxy-Konfiguration_(WPAD)
* [http://www.wlug.org.nz/WPAD ''Waikato Linux Users Group Wiki 2004: WPAD''] (englisch)
* [http://www.google.com/search?q=proxy+filetype%3Apac Google-Suche nach proxy filetype:pac]
* [http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/web-browser-auto-proxy-configuration.html Vorzügliche „Frequently Given Answer“: ''Automatic proxy HTTP server configuration in web browsers''] (englisch)

[[Kategorie:Internet-Anwendungsprotokoll]]
[[Kategorie:World Wide Web]]

Web Proxy Autodiscovery Protocol - Versionsgeschichte

imported>BrunoBoehmler: /* Weblinks */ Tippfehler korrigiert