Quick links: Springe zum Inhaltsbereich der Seite, Springe zur Seitennavigation, Springe zur Suche.

Lesezeit ca. 2 Minuten

Sicherheitscheck für Webseitenbetreiber

Information

Sicherheitscheck für Webseitenbetreiber

Wie sicher ist eigentlich die eigene Internetseite?
Mozilla stellt ein neues Tool zur Verfügung, mit dem man die eigene Seite auf Sicherheit testen kann. Wir haben so einige Tests auf diverse Webseiten gemacht, erschreckend hat sich auch der Test gezeigt.

Sicherheitscheck Mozilla.orgDer Test mit einem neuen Tool von Mozilla könnte für viele Betreiber ernüchternd sein. Unter der Adresse observatory.mozilla.org bietet der Firefox-Hersteller Mozilla einen kostenlosen Sicherheitscheck für Websites an. Damit sollten Webmaster erkennen können, welche Sicherheitsverfahren sie benutzen und wie gut diese implementiert sind, schreibt Mozilla-Entwicklerin April King in einem Blogbeitrag. Mit Hilfe eines Bewertungssystems könnten Webseitenbetreiber auf einfache Weise erkennen, ob sich die Sicherheit der Seiten verbessert hat.


Die Aufgabe Kings sollte eigentlich darin bestehen, die Mozilla-eigenen Seiten sicher zu machen. Zu ihrer Überraschung habe sie jedoch festgestellt, dass dies kein lockerer Job werden würde, sondern dass die von Mozilla selbst betriebenen Websites genauso unsicher wie viele andere seien. Auf der Basis des SSL-Server-Tests von Qualy's SSL Labs entwickelte King daher ein Tool, das einen einfachen und schnellen Überblick über die Implementierung von Sicherheitsmaßnahmen liefert.

Mehr als 100 Punkte möglich
Observatory überprüft dabei, ob die Site beispielsweise über Cookie-Secure-Flags verfügt oder die Integrität von Skripten überprüft (Subresource Integrity). Weitere Checks betreffen die Verschlüsselung von Inhalten per HTTPS (Redirections, HSTS, HTTP Public Key Pinning). Überprüft werden zudem die Einstellungen zu Cross-Origin Resource Sharing (CORS) und Content Security Policy (CSP), X-Frame-Optionen, X-Content-Type-Optionen und X-XSS-Protection.

Die Auswertung startet bei 100 Punkten. Observatory vergibt dabei US-amerikanische Schulnoten von A+ bis F. In den elf überprüften Bereichen können bis zu 50 Punkte abgezogen werden, wenn bestimmte Sicherheitsmerkmale nicht aktiviert oder falsch implementiert sind. Die niedrigste Punktzahl liegt jedoch bei null Punkten. Es gibt zudem maximal 30 Zusatzpunkte, wenn Sicherheitsmerkmale besonders vorbildlich implementiert sind. So erreicht die Seite addons.mozilla.org einen Wert von 105 Punkten.

Manche Standards kaum genutzt
Sicherheitscheck Google.comEin solch hoher Wert dürfte jedoch die Ausnahme sein. Seiten wie www.mozilla.org oder www.google.com erreichen nur max. 40 Punkte, weil sie beispielsweise Content Security Policy nicht nutzen oder Cookies ohne Secure-Flag über HTTP versendet werden. Nachrichtenseiten wie Golem.de bekommen schon deshalb hohe Abzüge, weil sie ihren Traffic nicht verschlüsseln. King räumt in ihrem Beitrag selbst ein, dass manche Sicherheitsstandards "frustrierend selten" eingesetzt würden. Während immerhin 30 Prozent der Websites ihren Traffic verschlüsselten, nutzten nur 0,005 Prozent Content Security Policy. Selbst www.mozilla.org setzt CSP nicht ein.

Der Code für das Tool steht auf Github zur Verfügung. Administratoren und Entwickler finden dort zusätzliche Funktionen, um beispielsweise ihre Seiten regelmäßig zu testen oder das Tool in ihre Entwicklungsumgebung einzubinden.

Notiz:

Quelle User: Eskin

Sicherheitscheck für Webseitenbetreiber

Für den Inhalt der Kommentare sind die Verfasser verantwortlich.