Securityheaders.io

Geschrieben von Jens Kubieziel am Freitag, 18. Dezember 2015

Viele von euch kennen vielleicht die Seite SSLLabs.com, bei der sich die Einstellungen bezüglich TLS testen lassen. Wer wissen möchte, wie gut die Daten auf einer verschlüsselten Webseite geschützt sind, kann den Namen eingeben und SSLabs führt dann verschiedene Tests durch. Nach Beendigung gibt die Seite eine Einschätzung aus.

SSL-Einstellungen für kubieziel.de im Dezember 2015

Nun ist TLS nicht die einzige Baustelle, was die Sicherheit im Web betrifft. Es gibt zahlreiche Schwachstellen, die ausgenutzt werden. Für einige dieser Schwachstellen wurden neue HTTP-Header eingeführt.

So gibt es beispielsweise einen, der dem Browser auffordert, die Seite ausschließlich über HTTPS aufzusuchen (HSTS). Die meisten aktuellen Browser unterstützen den Header. Daneben gibt es Header, die Schutz vor so genanntem Cross-Site-Scripting (XSS) bieten sollen sowie weitere mehr.

Die Seite securityheaders.io hat es sich zum Ziel gemacht, die Header der Webseiten zu testen und ein ähnliches Rating wie SSLLabs auszugeben. Auch hier erhaltet ihr einen schnellen Überblick über die Sicherungsmaßnahmen. Allerdings habe ich Einstellungen gefunden, wo das Rating aus meiner Sicht nicht gerechtfertigt ist. Die Seite hatte HSTS gesetzt und erhielt trotzdem nur ein sehr schlechtes Rating. Laut Aussage der Entwickler sind die aber dabei, das zu ändern. Testet die Seite doch mal aus!

Meine Seite hat derzeit folgendes Rating:

Bewertung der HTTP-Header bei kubieziel.de

Wie ihr seht, fehlt derzeit CSP und das Key Pinning. Bei letzterem lässt sich aus meiner Sicht viel falsch machen. Da will ich erstmal noch ein paar Gedanken reinstecken, bevor ich den setze. Und CSP muss ich testen, inwieweit das mit dem Blog Probleme gibt. Wenn das passiert ist, steht einem A+ nichts mehr im Wege.

Trackbacks

Trackback-URL für diesen Eintrag

Netz - Rettung - Recht am Donnerstag, 31. Dezember 2015: Wellenreiten 12/2015

Vorschau anzeigen

Wer als “Websurfer” metaphorisch auf den Wellen des Netzes reitet, findet dabei zwar keine paradiesischen Inseln, manchmal aber immerhin ganz interessante Lektüre. Im Dezember 2015 kann ich u.a. folgende Fundstücke empfehlen und der werten Leserschaft an

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Kai am Samstag, 19. Dezember 2015:

Ich nutze SSLlabs schon länger. Finde den service echt gut

Kommentar schreiben

Name

E-Mail

Homepage

Kommentar

Antwort zu

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

BBCode-Formatierung erlaubt

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Hier die Zeichenfolge der Spamschutz-Grafik eintragen:

Phone*

Was ist Zwei plus Eins?

Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden

Formular-Optionen

Daten merken?

Bei Aktualisierung dieser Kommentare benachrichtigen

Frank zu Ein passendes E-Auto finden

Di., 14.01.2025 17:08

Moin, heise Autos hatte da gestern einen Beitrag zu: [url]https://www.heise.de/hintergrund/Elektroauto-im -Al [...]

Jens Kubieziel zu Ein passendes E-Auto finden

Sa., 11.01.2025 12:58

Einen gebrauchten Diesel habe ich ja schon.

Der spart mir kein Geld und außerdem habe ich dann weiter Legac [...]

Rainer S. zu Ein passendes E-Auto finden

Sa., 11.01.2025 10:18

Ich würde einen gebrauchten Diesel (Sharan/Alhambra) vorschlagen, aus Nüchternheit. Und so ein Van trifft genau [...]

Mi., 08.01.2025 23:55

Der e-Rifter ist mir bislang noch nicht untergekommen. Die Sitzplätze machen in der Tat einen geräumigen Eindruck. [...]

Mi., 08.01.2025 08:48

Wir fahren seit 2022 einen Peugeot eRifter, bisher ohne Sorgen, es sei denn Reichweite ist das Ein und Alles. Wir [...]

Dirk Deimeke zu Ein passendes E-Auto finden

Sa., 04.01.2025 12:35

Sehr spannend. Wir sind vor rund einem Jahr gewechselt und haben uns für einen Škoda Enyaq entschieden. Die Ent [...]

Jens Kubieziel zu Ist ein Tesla günstig?

Sa., 18.05.2024 14:16

Du hast natürlich recht. Das mit dem Wertverlust ist etwas zu kurz gesprungen. Wenn ich an meinen vergangenen Fahr [...]

Martin Mustermann zu Ist ein Tesla günstig?

Sa., 18.05.2024 13:19

Der zukünftige Wertverlust des Fzg am Ende des beabsichtigten Nutzungszeitraumes ist hier m.E. schlechter vorherzu [...]

Jorge Desman zu Schnee von Yrsa Sigurðardóttir

Fr., 14.07.2023 17:28

Liest sich wie ein synthetisch erzeugter Artikel, also mit Hilfe gekünstelter Intelligenz.

-thh zu Schnee von Yrsa Sigurðardóttir

Sa., 01.07.2023 10:11

Dieser Beitrag liest sich, als sei er von einem Grundschüler verfasst werden (oder von jemandem mit deutschen Spra [...]

Jens Kubieziel zu Ein Jahr Logseq

Do., 20.04.2023 22:43

Das habe ich wohl falsch dargestellt. Ich nutze in der Tat hauptsächlich die alias::-Property.

Dirk zu Ein Jahr Logseq

Di., 18.04.2023 13:02

Sehe ich jetzt auch so -aber als ich anfing mit dokuwiki, war LogSeq noch "Quark in der Dose". Würde ich neu beg [...]

Bernd zu Ein Jahr Logseq

So., 09.04.2023 22:47

Warum nutzt du alias Seiten statt der alias:: Property?

Rainer S. zu Failed to create a mountpoint for revokefs-fuse

Mo., 03.04.2023 13:51

Nein, dafür fällt mir auch gar kein Szenario ein, in dem das sinnvoll sein könnte.

Jens Kubieziel zu Failed to create a mountpoint for revokefs-fuse

Mo., 03.04.2023 13:48

Monitorst du damit auch mobile Geräte?