Observatory by Mozilla: Unterschied zwischen den Versionen

Aus Hostsharing Wiki
Zur Navigation springen Zur Suche springen
(→‎Snippet für A+ Rating: .htaccess erwähnt)
(Schlagworte XSS und CSP im text)
 
(Eine dazwischenliegende Version von einem anderen Benutzer wird nicht angezeigt)
Zeile 1: Zeile 1:
== Sicherheits-Scan mit Rating ==
== Sicherheits-Scan mit Rating ==


[https://observatory.mozilla.org/ Das Observatory von Mozilla] scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann.
[https://observatory.mozilla.org/ Das Observatory von Mozilla] scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features für das HTTP-Protokoll. Insbesondere geht es um zusätzliche HTTP-Header, die bei der Vermeidung von XSS-Angriffen und anderen helfen. Eine Content Security Policy (CSP) sorgt dafür, dass keine bösartigen Inhalte von dritter Seite nachgeladen werden. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann.


Mozilla hat die Sicherheitshinweise in ausführlichen [https://infosec.mozilla.org/guidelines/web_security.html Guidelines] zusammengefasst.
Mozilla hat die Sicherheitshinweise in ausführlichen [https://infosec.mozilla.org/guidelines/web_security.html Guidelines] zusammengefasst.
Zeile 18: Zeile 18:
== Meta-Tag Snippet für A+ Rating ==
== Meta-Tag Snippet für A+ Rating ==


Die Header können auch in HTML-Code der Website gesetzt werden.
Die Header können teilweise auch im HTML-Code der Website gesetzt werden.


Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating:
Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating:

Aktuelle Version vom 19. Oktober 2018, 09:33 Uhr

Sicherheits-Scan mit Rating

Das Observatory von Mozilla scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features für das HTTP-Protokoll. Insbesondere geht es um zusätzliche HTTP-Header, die bei der Vermeidung von XSS-Angriffen und anderen helfen. Eine Content Security Policy (CSP) sorgt dafür, dass keine bösartigen Inhalte von dritter Seite nachgeladen werden. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann.

Mozilla hat die Sicherheitshinweise in ausführlichen Guidelines zusammengefasst.

Snippet für A+ Rating

Die Header zur Verbesserung der Sicherheit können in der Apache-Konfiguration gesetzt werden. Zum Beispiel in der Datei .htaccess

Mit der folgenden Konfiguration erzielt die Homepage von Hostsharing beim Rating ein A+:

   Header set Content-Security-Policy "default-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"
   Header set X-Content-Type-Options "nosniff"
   Header set X-Frame-Options "DENY"
   Header set X-XSS-Protection "1; mode=block"

Meta-Tag Snippet für A+ Rating

Die Header können teilweise auch im HTML-Code der Website gesetzt werden.

Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating:

   <meta http-equiv="Content-Security-Policy" content="default-src 'none'; object-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'">
   <meta http-equiv="X-XSS-Protection" content="1; mode=block">
   <meta http-equiv="X-Content-Type-Options" content="nosniff">
   <meta http-equiv="X-Frame-Options" content="DENY">
   <meta http-equiv="Referrer-Policy" content="no-referrer, strict-origin-when-cross-origin">