So pauschal möchte ich das nicht stehenlassen. Sicher soll man sich für das Teil nicht verbiegen, aber als unseriös sehe ich das auf keinen Fall.
Der CORS-Test warnt auch nur vor zu allumfassenden CORS-Konfigurationen wie z.B. Access-Control-Allow-Origin: * (ganz böse) als Sicherheitsrisiko. Ansonsten steht da: "Content is visible via cross-origin resource sharing (CORS) files or headers, but is restricted to specific domains" Klar, eine MITM-Attacke kann man nur mit HTTPS verhindern, aber eine Content Security Policy kann schon was bringen, indem man dem Browser sagt was er laden und ausführen darf und was nicht. Siehe https://de.wikipedia.org/wiki/Content_Security_Policy. X-Frame-Options gibt zum Beispiel an, ob die Seite eingebettet werden darf oder nicht. Kann auch einen Sicherheitsgewinn bringen, sofern der Browser nicht manipuliert wurde. HTTP Strict Transport Security (HSTS) würde HTTPS zum Beispiel erzwingen, auch das ist eigentlich sinnvoll, denn es gibt heutzutage eigentlich keinen Grund mehr HTTPS nicht zu verwenden. Auch im Hinblick auf HTTP/2 oder wegen MITM-Attacken (siehe oben). Ich sehe das Ding eher positiv, da es sicherheitsrelevante Konfigurationen übersichtlich auflistet und auch die Möglichkeit bietet sich über die Details zu informieren. Natürlich ist das mit den Schulnoten ein wenig reißerisch und vielleicht nicht so gut. Denn F heißt nicht, dass der Server unsicher ist wie sonst was, sondern dass es einfach noch besser gehen würde. Aber im konkreten Fall sind die zusätzlichen Einstellungen vielleicht gar nicht notwendig oder sinnvoll. Da darf man einem Tool eben nicht blind folgen, sondern muss selbst Wissen aufbauen. nebulon42 Am 2016-08-28 um 13:58 schrieb Roland Olbricht: > Hi, > >> es gibt einen ganz neuen Security-Checker von Mozilla. >> http://www.heise.de/newsticker/meldung/Mozilla-bringt-kostenlosen-Sicherheitstest-fuer-Websites-3306197.html >> >> >> An dem beiße ich mir zur Zeit die Zähne aus. Die Details kann ich noch >> nicht beurteilen, geschweige denn anpassen. > > Das Ding ist grob unseriös. Z.B. ist CORS ein anerkannter Web-Standard, > der regelt, wie Daten von Drittseiten eingebunden werden können. Folgt > man dem Standard, dann besteht keinerlei Sicherheitsrisiko. Ohne auch > nicht unbedingt, aber das ist ein anderes Thema. > > Der Security Check streicht aber die Hälfte der Punkte, wenn eine > Website den Standard unterstützt. > > Auch die übrigen Anforderungen sind vom Typ: "sende noch diese 27 > Extra-Header mit". Vom Senden zusätzlicher Header wird allerdings nichts > sicherer. Entweder hat der Server oder der Client eine Sicherheitslücke > oder nicht. Entweder gibt es einen Man-In-The-Middle, der dann auch die > Header setzen oder durchreichen kann, oder nicht. > > Das steht im starken Kontrast zu SSLLabs. Dort wird gezielt getestet, ob > man abgehört werden oder Inhalte untergeschoben bekommen kann, obwohl > die SSL-Verschlüsselung aktiv ist. Das ergibt Sinn, weil man mit SSL > (HTTPS) das nicht erwarten würde. > > Es lohnt also nicht, für den Mozilla-Scan irgendwas zu tun. Das Ding ist > Web-Politik, nicht Web-Sicherheit. > > Viele Grüße, > Roland > > > _______________________________________________ > Talk-de mailing list > [email protected] > https://lists.openstreetmap.org/listinfo/talk-de
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Talk-de mailing list [email protected] https://lists.openstreetmap.org/listinfo/talk-de
