[Talk-de] Konfigurationsfehler Apache www.openstreetmap.de (WAS: Deutsche Homepage - Fehlermeldung)

[Walter Nordmann]

Ok, wie schon gesagt: das Teil ist ganz neu und ich ḱonnte es noch nicht 
beurteilen.

Aber dein Urteil ist mir wichtiger :) Danke für die Info

gruss
walter


Am 28.08.2016 um 13:58 schrieb Roland Olbricht:
> Hi,
>
>> es gibt einen ganz neuen Security-Checker von Mozilla.
>> http://www.heise.de/newsticker/meldung/Mozilla-bringt-kostenlosen-Sicherheitstest-fuer-Websites-3306197.html 
>>
>>
>> An dem beiße ich mir zur Zeit die Zähne aus. Die Details kann ich noch
>> nicht beurteilen, geschweige denn anpassen.
>
> Das Ding ist grob unseriös. Z.B. ist CORS ein anerkannter 
> Web-Standard, der regelt, wie Daten von Drittseiten eingebunden werden 
> können. Folgt man dem Standard, dann besteht keinerlei 
> Sicherheitsrisiko. Ohne auch nicht unbedingt, aber das ist ein anderes 
> Thema.
>
> Der Security Check streicht aber die Hälfte der Punkte, wenn eine 
> Website den Standard unterstützt.
>
> Auch die übrigen Anforderungen sind vom Typ: "sende noch diese 27 
> Extra-Header mit". Vom Senden zusätzlicher Header wird allerdings 
> nichts sicherer. Entweder hat der Server oder der Client eine 
> Sicherheitslücke oder nicht. Entweder gibt es einen Man-In-The-Middle, 
> der dann auch die Header setzen oder durchreichen kann, oder nicht.
>
> Das steht im starken Kontrast zu SSLLabs. Dort wird gezielt getestet, 
> ob man abgehört werden oder Inhalte untergeschoben bekommen kann, 
> obwohl die SSL-Verschlüsselung aktiv ist. Das ergibt Sinn, weil man 
> mit SSL (HTTPS) das nicht erwarten würde.
>
> Es lohnt also nicht, für den Mozilla-Scan irgendwas zu tun. Das Ding 
> ist Web-Politik, nicht Web-Sicherheit.
>
> Viele Grüße,
> Roland
>
>
> _______________________________________________
> Talk-de mailing list
> Talk-de at openstreetmap.org
> https://lists.openstreetmap.org/listinfo/talk-de