[Talk-de] Konfigurationsfehler Apache www.openstreetmap.de (WAS: Deutsche Homepage - Fehlermeldung)

[nebulon42]

So pauschal möchte ich das nicht stehenlassen. Sicher soll man sich für
das Teil nicht verbiegen, aber als unseriös sehe ich das auf keinen Fall.

Der CORS-Test warnt auch nur vor zu allumfassenden CORS-Konfigurationen
wie z.B. Access-Control-Allow-Origin: * (ganz böse) als
Sicherheitsrisiko. Ansonsten steht da:

"Content is visible via cross-origin resource sharing (CORS) files or
headers, but is restricted to specific domains"

Klar, eine MITM-Attacke kann man nur mit HTTPS verhindern, aber eine
Content Security Policy kann schon was bringen, indem man dem Browser
sagt was er laden und ausführen darf und was nicht. Siehe
https://de.wikipedia.org/wiki/Content_Security_Policy.

X-Frame-Options gibt zum Beispiel an, ob die Seite eingebettet werden
darf oder nicht. Kann auch einen Sicherheitsgewinn bringen, sofern der
Browser nicht manipuliert wurde.

HTTP Strict Transport Security (HSTS) würde HTTPS zum Beispiel
erzwingen, auch das ist eigentlich sinnvoll, denn es gibt heutzutage
eigentlich keinen Grund mehr HTTPS nicht zu verwenden. Auch im Hinblick
auf HTTP/2 oder wegen MITM-Attacken (siehe oben).

Ich sehe das Ding eher positiv, da es sicherheitsrelevante
Konfigurationen übersichtlich auflistet und auch die Möglichkeit bietet
sich über die Details zu informieren. Natürlich ist das mit den
Schulnoten ein wenig reißerisch und vielleicht nicht so gut. Denn F
heißt nicht, dass der Server unsicher ist wie sonst was, sondern dass es
einfach noch besser gehen würde. Aber im konkreten Fall sind die
zusätzlichen Einstellungen vielleicht gar nicht notwendig oder sinnvoll.
Da darf man einem Tool eben nicht blind folgen, sondern muss selbst
Wissen aufbauen.

nebulon42

Am 2016-08-28 um 13:58 schrieb Roland Olbricht:
> Hi,
> 
>> es gibt einen ganz neuen Security-Checker von Mozilla.
>> http://www.heise.de/newsticker/meldung/Mozilla-bringt-kostenlosen-Sicherheitstest-fuer-Websites-3306197.html
>>
>>
>> An dem beiße ich mir zur Zeit die Zähne aus. Die Details kann ich noch
>> nicht beurteilen, geschweige denn anpassen.
> 
> Das Ding ist grob unseriös. Z.B. ist CORS ein anerkannter Web-Standard,
> der regelt, wie Daten von Drittseiten eingebunden werden können. Folgt
> man dem Standard, dann besteht keinerlei Sicherheitsrisiko. Ohne auch
> nicht unbedingt, aber das ist ein anderes Thema.
> 
> Der Security Check streicht aber die Hälfte der Punkte, wenn eine
> Website den Standard unterstützt.
> 
> Auch die übrigen Anforderungen sind vom Typ: "sende noch diese 27
> Extra-Header mit". Vom Senden zusätzlicher Header wird allerdings nichts
> sicherer. Entweder hat der Server oder der Client eine Sicherheitslücke
> oder nicht. Entweder gibt es einen Man-In-The-Middle, der dann auch die
> Header setzen oder durchreichen kann, oder nicht.
> 
> Das steht im starken Kontrast zu SSLLabs. Dort wird gezielt getestet, ob
> man abgehört werden oder Inhalte untergeschoben bekommen kann, obwohl
> die SSL-Verschlüsselung aktiv ist. Das ergibt Sinn, weil man mit SSL
> (HTTPS) das nicht erwarten würde.
> 
> Es lohnt also nicht, für den Mozilla-Scan irgendwas zu tun. Das Ding ist
> Web-Politik, nicht Web-Sicherheit.
> 
> Viele Grüße,
> Roland
> 
> 
> _______________________________________________
> Talk-de mailing list
> Talk-de at openstreetmap.org
> https://lists.openstreetmap.org/listinfo/talk-de

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.openstreetmap.org/pipermail/talk-de/attachments/20160828/94706c79/attachment.sig>