Ich bin heute über einen
Link
auf das interessante Tool Webbkoll
aufmerksam geworden.
Webbkoll ist ein Open-Source-Tool mit dem man die eigene Homepage, und
auch andere, auf Datenschutzkonformität überprüfen kann. Da das Tool
OpenSource ist kann der
Quellcode eingesehen werden und
man kann das Tool auch auf dem eigenen Webspace/Server installieren. Ich
habe die bequeme Variante vorgezogen die
Onlineversion des Entwicklers zu
nutzen.
Das Tool überprüft die Verwendung externer Ressourcen und bewertet sie danach ob sie in der Blockliste von Disconnect vorkommen, ob die Seite über HTTPS ausgeliefert wird, HSTS genutzt wird, Drittpartie-Cookies gesetzt werden und einiges mehr.
Mein
Ergebnis
sah gar nicht so schlecht aus aber ließ sich durch Abschalten der
referrer noch verbessern, d.h. es wird Seiten nicht mehr mitgeteilt,
dass ihr von hier kommt wenn ihr einem Link folgt (es sei denn ihr nutzt
einen veralteten Browser der dies noch nicht unterstützt).
Auch habe ich Piwik nicht mehr auf dieser Seite in
Betrieb. Piwik ist zwar quelloffen und somit für interessierte Personen
mit der nötigen Kompetenz überprüfbar und auch lokal gehosted (d.h. es
werden keine Daten an Google oder sonstige Firmen übermittelt), aber da
mir der Datenschutz wichtig ist habe ich es deaktiviert. Piwik wurde von
Webbkoll übrigens nicht negativ bewertet, aber ich habe die
Überprüfung mal als Denkanstoß genommen und Piwik entfernt.
Ich habe auch HSTS auf diesem Blog aktiviert, d.h. Browser merken sich, dass dieser Blog über HTTPS erreichbar ist und werden in Zukunft nicht mehr versuchen unverschlüsselt zuzugreifen.
Webbkoll zeig HSTS zwar weiterhin als nicht aktiv an, aber mein SSL-Labs Ranking hat sich durch diese Maßnahme von A auf A+ verbessert. Vermutlich wird HSTS von Webbkoll erst gewürdigt wenn man die Seite in eine Liste eintragen lässt, die mit allen gängigen Browsern ausgeliefert wird. Ist man in dieser Liste vertreten wird jeder Browser, der sie ausliefert, sofort eine HTTPS-Verbindung zur Seite aufbauen, auch wenn die Seit explizit mit http:// aufgerufen wurde.
Wie schneidet eure Seite ab? Hosen runter! :D