[Talk-de] Konfigurationsfehler Apache www.openstreetmap.de (WAS: Deutsche Homepage - Fehlermeldung)
Roland Olbricht
roland.olbricht at gmx.de
So Aug 28 11:58:01 UTC 2016
Hi,
> es gibt einen ganz neuen Security-Checker von Mozilla.
> http://www.heise.de/newsticker/meldung/Mozilla-bringt-kostenlosen-Sicherheitstest-fuer-Websites-3306197.html
>
> An dem beiße ich mir zur Zeit die Zähne aus. Die Details kann ich noch
> nicht beurteilen, geschweige denn anpassen.
Das Ding ist grob unseriös. Z.B. ist CORS ein anerkannter Web-Standard,
der regelt, wie Daten von Drittseiten eingebunden werden können. Folgt
man dem Standard, dann besteht keinerlei Sicherheitsrisiko. Ohne auch
nicht unbedingt, aber das ist ein anderes Thema.
Der Security Check streicht aber die Hälfte der Punkte, wenn eine
Website den Standard unterstützt.
Auch die übrigen Anforderungen sind vom Typ: "sende noch diese 27
Extra-Header mit". Vom Senden zusätzlicher Header wird allerdings nichts
sicherer. Entweder hat der Server oder der Client eine Sicherheitslücke
oder nicht. Entweder gibt es einen Man-In-The-Middle, der dann auch die
Header setzen oder durchreichen kann, oder nicht.
Das steht im starken Kontrast zu SSLLabs. Dort wird gezielt getestet, ob
man abgehört werden oder Inhalte untergeschoben bekommen kann, obwohl
die SSL-Verschlüsselung aktiv ist. Das ergibt Sinn, weil man mit SSL
(HTTPS) das nicht erwarten würde.
Es lohnt also nicht, für den Mozilla-Scan irgendwas zu tun. Das Ding ist
Web-Politik, nicht Web-Sicherheit.
Viele Grüße,
Roland
Mehr Informationen über die Mailingliste Talk-de