Abo
  • Services:
Anzeige
Von einem solchen Testergebnis können die meisten Admins nur träumen.
Von einem solchen Testergebnis können die meisten Admins nur träumen. (Bild: Screenshot: Golem.de)

Observatory: Mozilla bietet Sicherheitscheck für Websites

Von einem solchen Testergebnis können die meisten Admins nur träumen.
Von einem solchen Testergebnis können die meisten Admins nur träumen. (Bild: Screenshot: Golem.de)

Wie sicher ist die eigene Internetseite? Der Test mit einem neuen Tool von Browserhersteller Mozilla könnte für viele Betreiber ernüchternd sein.

Unter der Adresse observatory.mozilla.org bietet der Firefox-Hersteller Mozilla einen kostenlosen Sicherheitscheck für Websites an. Damit sollten Webmaster erkennen können, welche Sicherheitsverfahren sie benutzen und wie gut diese implementiert sind, schreibt Mozilla-Entwicklerin April King in einem Blogbeitrag. Mit Hilfe eines Bewertungssystems könnten Webseitenbetreiber auf einfache Weise erkennen, ob sich die Sicherheit der Seiten verbessert hat.

Anzeige

Die Aufgabe Kings sollte eigentlich darin bestehen, die Mozilla-eigenen Seiten sicher zu machen. Zu ihrer Überraschung habe sie jedoch festgestellt, dass dies kein lockerer Job werden würde, sondern dass die von Mozilla selbst betriebenen Websites genauso unsicher wie viele andere seien. Auf der Basis des SSL-Server-Tests von Qualy's SSL Labs entwickelte King daher ein Tool, das einen einfachen und schnellen Überblick über die Implementierung von Sicherheitsmaßnahmen liefert.

Mehr als 100 Punkte möglich

Observatory überprüft dabei, ob die Site beispielsweise über Cookie-Secure-Flags verfügt oder die Integrität von Skripten überprüft (Subresource Integrity). Weitere Checks betreffen die Verschlüsselung von Inhalten per HTTPS (Redirections, HSTS, HTTP Public Key Pinning). Überprüft werden zudem die Einstellungen zu Cross-Origin Resource Sharing (CORS) und Content Security Policy (CSP), X-Frame-Optionen, X-Content-Type-Optionen und X-XSS-Protection.

Die Auswertung startet bei 100 Punkten. Observatory vergibt dabei US-amerikanische Schulnoten von A+ bis F. In den elf überprüften Bereichen können bis zu 50 Punkte abgezogen werden, wenn bestimmte Sicherheitsmerkmale nicht aktiviert oder falsch implementiert sind. Die niedrigste Punktzahl liegt jedoch bei null Punkten. Es gibt zudem maximal 30 Zusatzpunkte, wenn Sicherheitsmerkmale besonders vorbildlich implementiert sind. So erreicht die Seite addons.mozilla.org einen Wert von 105 Punkten.

Manche Standards kaum genutzt

Ein solch hoher Wert dürfte jedoch die Ausnahme sein. Seiten wie www.mozilla.org oder www.google.com erreichen nur 50 Punkte, weil sie beispielsweise Content Security Policy nicht nutzen oder Cookies ohne Secure-Flag über HTTP versendet werden. Nachrichtenseiten wie Golem.de bekommen schon deshalb hohe Abzüge, weil sie ihren Traffic nicht verschlüsseln. King räumt in ihrem Beitrag selbst ein, dass manche Sicherheitsstandards "frustrierend selten" eingesetzt würden. Während immerhin 30 Prozent der Websites ihren Traffic verschlüsselten, nutzten nur 0,005 Prozent Content Security Policy. Selbst www.mozilla.org setzt CSP nicht ein.

Der Code für das Tool steht auf Github zur Verfügung. Administratoren und Entwickler finden dort zusätzliche Funktionen, um beispielsweise ihre Seiten regelmäßig zu testen oder das Tool in ihre Entwicklungsumgebung einzubinden.


eye home zur Startseite
RaZZE 30. Aug 2016

Besser gar keine Cookies als rotzeschlecht implementiere Cookies

Apfelbrot 30. Aug 2016

Diese Erkennung funktioniert aber anscheinend absolut nicht zuverlässig. Bei mir wird...

dura 30. Aug 2016

Sieht nach einem Bug für mich aus, würde ich nachfragen/melden. Also, der einzige...

RicoBrassers 29. Aug 2016

Ich komme jetzt auch auf 85/100, hatte aber schon 105/100. Aber jetzt erkennt das Tool...

tundracomp 29. Aug 2016

Außerdem laut dem Mozilla Ding zu Golem.de: "Subresource Integrity (SRI) not implemented...



Anzeige

Stellenmarkt
  1. Thalia Bücher GmbH, Berlin
  2. Daimler AG, Sindelfingen
  3. Diehl Comfort Modules, Hamburg
  4. Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme, Sankt Augustin


Anzeige
Spiele-Angebote
  1. (-45%) 32,99€
  2. 9,49€ statt 19,99€
  3. 14,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  2. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  3. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  4. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  5. Kein Internet

    Nach Windows-Update weltweit Computer offline

  6. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  7. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  8. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  9. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  10. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

  1. Re: Tritt sehr wohl in Deutschland auf

    Allandor | 00:08

  2. Re: Viel zu späte Einsicht und trotzdem keine Lösung

    nicoledos | 00:07

  3. Re: schade ...

    Moe479 | 00:00

  4. Re: Upload ...

    thoros | 00:00

  5. Re: Was die VG Wort will

    schotte | 09.12. 23:53


  1. 18:40

  2. 17:30

  3. 17:13

  4. 16:03

  5. 15:54

  6. 15:42

  7. 14:19

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel