Sicherheitseinstellungen von Webseiten mit Observatory testen

Jetzt geht's rund. :D Vorgestern hatte ich Webbkoll entdeckt und deswegen schon einiges auf der ToDo-Liste und heute sehe ich einen Blog-Eintrag der auf Mozillas Observatory hinweist, ein weiteres Tool um die Sicherheit der eigenen Webseite zu testen.

Da ich dort nur ein D Rating für meine Seite bekam machte ich mich nun daran die nötigen Einstellungen vorzunehmen. Leider kam ich nicht über eine Bewertung von B+ hinaus, da ich noch Inline-Skripte erlaube. Ohne dies funktioniert nämlich die Anbindung meines Kommentarsystems Isso nicht mehr.

Was ist neu?

  • Ich habe eine Content Security Policy umgesetzt, mit der ich bestimme welche Objekte von welchen hosts geholt bzw. ausgeführt werden. Das hilft XSS- Attacken zu vermeiden.
  • HTTP Strict Transport Security, d.h. der Browser bekommt mitgeteilt, dass er die Seite in Zukunft nur noch per https aufruft.
  • X-Content-Type-Options nosniff hält soweit ich das verstanden habe Browser davon ab anders zu interpretieren als vorgegeben, damit der Browser z.B. nicht auf die Idee kommt Inhalt als Script auszuführen, der kein Script sein sollte.
  • X-Frame-Options verbieten meine Seite in einem iframe auszuliefern, was gegen Clickjacking hilft.
  • X-XSS-Protection aktiviert Browsermethoden zur Vermeidung von XSS- Attacken

Damit sieht die Konfiguration meiner Seite in den gängigen Testtools schon ganz gut aus, aber ich werde in nächster Zeit versuchen das nach und nach noch etwas zu verbessern. Leider weiß ich nicht, ob ich bei einem shared hosting da nicht irgendwann an Grenzen stoße.

Inhalt

Teilen: E-Mail

Hinterlasse einen Kommentar oder diskutiere im OSBN-Chat.


In den Kommentaren können folgende Formatierungen genutzt werden.