Observatory by Mozilla: Unterschied zwischen den Versionen
Has00 (Diskussion | Beiträge) |
(Schlagworte XSS und CSP im text) |
||
(4 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
== Sicherheits-Scan mit Rating == | == Sicherheits-Scan mit Rating == | ||
[https://observatory.mozilla.org/ Das Observatory von Mozilla] scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann. | [https://observatory.mozilla.org/ Das Observatory von Mozilla] scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features für das HTTP-Protokoll. Insbesondere geht es um zusätzliche HTTP-Header, die bei der Vermeidung von XSS-Angriffen und anderen helfen. Eine Content Security Policy (CSP) sorgt dafür, dass keine bösartigen Inhalte von dritter Seite nachgeladen werden. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann. | ||
Mozilla hat die Sicherheitshinweise in ausführlichen [https://infosec.mozilla.org/guidelines/web_security.html Guidelines] zusammengefasst. | Mozilla hat die Sicherheitshinweise in ausführlichen [https://infosec.mozilla.org/guidelines/web_security.html Guidelines] zusammengefasst. | ||
== Snippet für A+ Rating == | == Snippet für A+ Rating == | ||
Die Header zur Verbesserung der Sicherheit können in der Apache-Konfiguration gesetzt werden. Zum Beispiel in der Datei [[.htaccess]] | |||
Mit der folgenden Konfiguration erzielt die Homepage von Hostsharing beim Rating ein A+: | |||
Header set Content-Security-Policy "default-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'" | Header set Content-Security-Policy "default-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'" | ||
Zeile 13: | Zeile 17: | ||
== Meta-Tag Snippet für A+ Rating == | == Meta-Tag Snippet für A+ Rating == | ||
Die Header können teilweise auch im HTML-Code der Website gesetzt werden. | |||
Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating: | Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating: |
Aktuelle Version vom 19. Oktober 2018, 09:33 Uhr
Sicherheits-Scan mit Rating
Das Observatory von Mozilla scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features für das HTTP-Protokoll. Insbesondere geht es um zusätzliche HTTP-Header, die bei der Vermeidung von XSS-Angriffen und anderen helfen. Eine Content Security Policy (CSP) sorgt dafür, dass keine bösartigen Inhalte von dritter Seite nachgeladen werden. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann.
Mozilla hat die Sicherheitshinweise in ausführlichen Guidelines zusammengefasst.
Snippet für A+ Rating
Die Header zur Verbesserung der Sicherheit können in der Apache-Konfiguration gesetzt werden. Zum Beispiel in der Datei .htaccess
Mit der folgenden Konfiguration erzielt die Homepage von Hostsharing beim Rating ein A+:
Header set Content-Security-Policy "default-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'" Header set X-Content-Type-Options "nosniff" Header set X-Frame-Options "DENY" Header set X-XSS-Protection "1; mode=block"
Meta-Tag Snippet für A+ Rating
Die Header können teilweise auch im HTML-Code der Website gesetzt werden.
Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating:
<meta http-equiv="Content-Security-Policy" content="default-src 'none'; object-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"> <meta http-equiv="X-XSS-Protection" content="1; mode=block"> <meta http-equiv="X-Content-Type-Options" content="nosniff"> <meta http-equiv="X-Frame-Options" content="DENY"> <meta http-equiv="Referrer-Policy" content="no-referrer, strict-origin-when-cross-origin">