Ok, wie schon gesagt: das Teil ist ganz neu und ich ḱonnte es noch nicht
beurteilen.
Aber dein Urteil ist mir wichtiger :) Danke für die Info
gruss
walter
Am 28.08.2016 um 13:58 schrieb Roland Olbricht:
Hi,
es gibt einen ganz neuen Security-Checker von Mozilla.
http://www.heise.de/newsticker/meldung/Mozilla-bringt-kostenlosen-Sicherheitstest-fuer-Websites-3306197.html
An dem beiße ich mir zur Zeit die Zähne aus. Die Details kann ich noch
nicht beurteilen, geschweige denn anpassen.
Das Ding ist grob unseriös. Z.B. ist CORS ein anerkannter
Web-Standard, der regelt, wie Daten von Drittseiten eingebunden werden
können. Folgt man dem Standard, dann besteht keinerlei
Sicherheitsrisiko. Ohne auch nicht unbedingt, aber das ist ein anderes
Thema.
Der Security Check streicht aber die Hälfte der Punkte, wenn eine
Website den Standard unterstützt.
Auch die übrigen Anforderungen sind vom Typ: "sende noch diese 27
Extra-Header mit". Vom Senden zusätzlicher Header wird allerdings
nichts sicherer. Entweder hat der Server oder der Client eine
Sicherheitslücke oder nicht. Entweder gibt es einen Man-In-The-Middle,
der dann auch die Header setzen oder durchreichen kann, oder nicht.
Das steht im starken Kontrast zu SSLLabs. Dort wird gezielt getestet,
ob man abgehört werden oder Inhalte untergeschoben bekommen kann,
obwohl die SSL-Verschlüsselung aktiv ist. Das ergibt Sinn, weil man
mit SSL (HTTPS) das nicht erwarten würde.
Es lohnt also nicht, für den Mozilla-Scan irgendwas zu tun. Das Ding
ist Web-Politik, nicht Web-Sicherheit.
Viele Grüße,
Roland
_______________________________________________
Talk-de mailing list
[email protected]
https://lists.openstreetmap.org/listinfo/talk-de
_______________________________________________
Talk-de mailing list
[email protected]
https://lists.openstreetmap.org/listinfo/talk-de
