Observatory by Mozilla: Unterschied zwischen den Versionen

Aus Hostsharing Wiki
Zur Navigation springen Zur Suche springen
(Erste Fassung)
 
(Schlagworte XSS und CSP im text)
 
(6 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 1: Zeile 1:
== Sicherheits-Scan mit Rating ==
== Sicherheits-Scan mit Rating ==


[https://observatory.mozilla.org/ Das Observatory von Mozilla] scannt Websites und analysiert die Sicherheitseinstellungen. Die Ergebnisseite gibt ein Rating aus und erklärt, wie man das Rating verbessern kann.
[https://observatory.mozilla.org/ Das Observatory von Mozilla] scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features für das HTTP-Protokoll. Insbesondere geht es um zusätzliche HTTP-Header, die bei der Vermeidung von XSS-Angriffen und anderen helfen. Eine Content Security Policy (CSP) sorgt dafür, dass keine bösartigen Inhalte von dritter Seite nachgeladen werden. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann.


Mozilla hat die Sicherheitshinweise in ausführlichen [https://infosec.mozilla.org/guidelines/web_security.html Guidelines] zusammengefasst.


== Snippet für A+ Rating ==
Die Header zur Verbesserung der Sicherheit können in der Apache-Konfiguration gesetzt werden. Zum Beispiel in der Datei [[.htaccess]]


== Snippet für A+ Rating ==
Mit der folgenden Konfiguration erzielt die Homepage von Hostsharing beim Rating ein A+:


     Header set Content-Security-Policy "default-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"
     Header set Content-Security-Policy "default-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"
Zeile 13: Zeile 17:


== Meta-Tag Snippet für A+ Rating ==
== Meta-Tag Snippet für A+ Rating ==
Die Header können teilweise auch im HTML-Code der Website gesetzt werden.


Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating:
Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating:

Aktuelle Version vom 19. Oktober 2018, 09:33 Uhr

Sicherheits-Scan mit Rating

Das Observatory von Mozilla scannt Websites und analysiert die Implementierung von wichtigen Sicherheits-Features für das HTTP-Protokoll. Insbesondere geht es um zusätzliche HTTP-Header, die bei der Vermeidung von XSS-Angriffen und anderen helfen. Eine Content Security Policy (CSP) sorgt dafür, dass keine bösartigen Inhalte von dritter Seite nachgeladen werden. Auf der Ergebnisseite werden Webmaster darüber informiert, wie ihre Website abgeschnitten hat. Neben einem Rating von A bis F (analog der US-amerikanischen Schulnoten) erfährt man auf der Ergebnisseite, wie man die Sicherheit der eigenen Website verbessern kann.

Mozilla hat die Sicherheitshinweise in ausführlichen Guidelines zusammengefasst.

Snippet für A+ Rating

Die Header zur Verbesserung der Sicherheit können in der Apache-Konfiguration gesetzt werden. Zum Beispiel in der Datei .htaccess

Mit der folgenden Konfiguration erzielt die Homepage von Hostsharing beim Rating ein A+:

   Header set Content-Security-Policy "default-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'"
   Header set X-Content-Type-Options "nosniff"
   Header set X-Frame-Options "DENY"
   Header set X-XSS-Protection "1; mode=block"

Meta-Tag Snippet für A+ Rating

Die Header können teilweise auch im HTML-Code der Website gesetzt werden.

Mit diesen Meta-Tags im Header erzielt man ebenfalls ein A+-Rating:

   <meta http-equiv="Content-Security-Policy" content="default-src 'none'; object-src 'none'; font-src 'self'; img-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'">
   <meta http-equiv="X-XSS-Protection" content="1; mode=block">
   <meta http-equiv="X-Content-Type-Options" content="nosniff">
   <meta http-equiv="X-Frame-Options" content="DENY">
   <meta http-equiv="Referrer-Policy" content="no-referrer, strict-origin-when-cross-origin">