[Talk-de] Konfigurationsfehler Apache www.openstreetmap.de (WAS: Deutsche Homepage - Fehlermeldung)

[Roland Olbricht]

Hi,

> es gibt einen ganz neuen Security-Checker von Mozilla.
> http://www.heise.de/newsticker/meldung/Mozilla-bringt-kostenlosen-Sicherheitstest-fuer-Websites-3306197.html
>
> An dem beiße ich mir zur Zeit die Zähne aus. Die Details kann ich noch
> nicht beurteilen, geschweige denn anpassen.

Das Ding ist grob unseriös. Z.B. ist CORS ein anerkannter Web-Standard, 
der regelt, wie Daten von Drittseiten eingebunden werden können. Folgt 
man dem Standard, dann besteht keinerlei Sicherheitsrisiko. Ohne auch 
nicht unbedingt, aber das ist ein anderes Thema.

Der Security Check streicht aber die Hälfte der Punkte, wenn eine 
Website den Standard unterstützt.

Auch die übrigen Anforderungen sind vom Typ: "sende noch diese 27 
Extra-Header mit". Vom Senden zusätzlicher Header wird allerdings nichts 
sicherer. Entweder hat der Server oder der Client eine Sicherheitslücke 
oder nicht. Entweder gibt es einen Man-In-The-Middle, der dann auch die 
Header setzen oder durchreichen kann, oder nicht.

Das steht im starken Kontrast zu SSLLabs. Dort wird gezielt getestet, ob 
man abgehört werden oder Inhalte untergeschoben bekommen kann, obwohl 
die SSL-Verschlüsselung aktiv ist. Das ergibt Sinn, weil man mit SSL 
(HTTPS) das nicht erwarten würde.

Es lohnt also nicht, für den Mozilla-Scan irgendwas zu tun. Das Ding ist 
Web-Politik, nicht Web-Sicherheit.

Viele Grüße,
Roland