Skip to content

Webserver HTTP Header auf Sicherheit überprüfen

Der Header zählt zu den interessanteren Informationen eines Webservers, bleibt dem Otto-Normal-Surfer aber meist verborgen.

Über ihn lassen sich nicht nur Informationen über den laufenden Server erfahren, mit Hilfe des Headers können auch zusätzliche Sicherheitsmechanismen aktiviert werden, sogenannte "Security-related HTTP Headers". Sie werden im Feld "Content-Security-Policy" übermittelt.

Diese Funktionen dienen unter anderem dem Schutz vor Cross Site Scripting (XSS), aber auch der erhöhten Sicherheit, wie beispielsweise HTTP Strict Transport Security (HSTS).

Das Open Web Application Security Project listet die wichtigsten davon auf .

securityheaders.io

Die Webseite securityheaders.io überprüft genau diese Sicherheitseinstellungen auf Aktivität. Sie vergibt dabei Bewertungen, je nach Einsatz, von A+ (sehr gut) bis F (sehr schlecht).

Der Aufbau erinnert an den bekannten TLS-Online-Server-Test von SSLLabs, denn sogar das Feld "Hide Results" (Ergebnisse des Scans verstecken) wurde übernommen. Hier darf der Haken gerne gesetzt werden.

Eine weiteres Ergebnis außerhalb des Scorings ist R. Dies bedeutet, dass die untersuchte Webseite weitergeleitet wird.

securityheaders.io-redirect

Fazit

Als Ergänzung zum Online-Test von SSLLabs oder vergleichbaren Tools wie SSLyze bietet securityheaders.io eine zusätzliche Möglichkeit Webserver auf ihre Sicherheitseinstellungen zu überprüfen.

Panopticlick - Browser auf Fingerabdruck und Tracking untersuchen

Panopticlick 2 - Online Test für Tracking Gefahren

Die EFF hat ihren Online Service für Fingerprinting Tests aktualisiert. Bekannt unter den Namen Panopticlick wurde nicht nur das Design modernisiert, sondern auch die vorhandenen Tests erweitert.
Neben dem Canvas Fingerprinting Test (zum Nachlesen auf ITrig) wurde ein Touch Capability Test und ein Werbetracker Check, sowie Do Not Track integriert.

panopticlick

Ein Testergebnis wird zunächst recht kompakt ausgegeben, lässt sich aber mit einem Klick auf "Show full results for fingerprinting" leicht erweitern.

Das ausführliche Ergebnis liefert Informationen zu Supercookies, Canvas Fingeprinting, Sprache, Zeitzone, Plugins, Betriebssystem, Schrift, User Agent, Touch Unterstützung und Cookies.

Panopticlick-Ergebnis

Was tun gegen Fingerprinting und Tracking ?

Zur Abwehr eines solchen Fingerabdrucks empfiehlt die Electronic Frontier Foundation zum einen eigene Tools, wie Privacy Badger, aber auch andere Bekannte, wie NoScript, Disconnect oder Tor.

Aus eigener Erfahrung empfehle ich folgende Add-ons als Tracking Schutz und zur allgemeinen Sicherheit (Firefox)

  • Privacy Badger
  • Self-Destructing Cookies
  • HTTPS Everywhere
  • NoScript
  • Random Agent Spoofer (bei Bedarf)
  • BetterPrivacy (LSO Cookies)
  • ZenMate VPN (bei Bedarf)
  • CanvasBlocker (bei Bedarf)


via


Das könnte dich auch interessieren

Tracking via Canvas-Fingerprinting - Diese Seiten benutzen bereits den nicht löschbaren Cookie Erbe

Tracking ade - CanvasBlocker, Fingerprinting im Firefox blockieren

Secure Login - Firefox Erweiterung für den Passwortmanager

Ich bin die Tage mal wieder über eine sehr praktische Erweiterung für den Firefox Browser gestolpert, die ich bisher noch nicht kannte. 

Secure Login 

Secure Login nennt sich das gute Stück und bereichert den in Firefox integrierten Passwortmanager um praktische Funktionen .

So werden hinterlegte Zugangsdaten nach der Installation automatisch in die Loginformulare eingetragen. Das heißt für einen Login über eine Eingabeformular ist nur noch das Betätigen der Enter Taste oder eines Tastaturkürzels (Strg+N) notwendig.

Secure-Login-Firefox

In den Einstellungen kann zusätzlich ein Secure Login Lesezeichen aktiviert werden, welches einen direkten Zugang aus den Favoriten heraus bietet. Zusätzlich Sicherheit bietet der ebenfalls optional angebotene Schutz vor bösartigem JavaScript-Code oder Cross-Site Scripting (XSS) Attacken.

Secure Login

Schlussendlich ein wirklich praktisches Add-on, das keine zusätzlichen Ressourcen benötigt, da es nur beim Login Vorgang aktiv ist. Ich kann es also nur empfehlen.

secure login

Tracking ade - CanvasBlocker, Fingerprinting im Firefox blockieren

Letzten Sommer hatte ich kurz über die neue Canvas Tracking Methode via Browser Fingerabdruck der Werbeindustrie berichtet. Dabei geht es es darum den Browser mit dem "<canvas>" Element eindeutig zu identifizieren, wie im ersten Artikel zu diesem Thema etwas genauer beschrieben.

Browser Fingerprinting im Firefox blockieren

Für den Firefox gibt es ein Add-on, welches genau dieses Element blockiert. Dies hat zum einen den Vorteil, dass Tracking auf diese Methode nicht mehr möglich ist, aber auch den Nachteil, dass eine Warnung auch auf Seiten erscheint, welche nicht tracken, sondern das Element für grafische Zwecke nutzen, wie ursprünglich gedacht.

So hatte zum Beispiel die JavaScript Bibliothek Modernizr v2.5.3 genau diese Meldung hervorgebracht,obwohl diese mit Tracking rein gar nichts am Hut hat. (Quelle)

canvas-blocker

Dennoch ist das Add-on nicht komplett unbrauchbar, er erhöht den Grundschutz auf jeden Fall, macht aber dabei keine Gefangenen, außer der Anwender pflegt die vorhandene Whitelist regelmäßig.

Hier wäre in Zukunft eine vorgefertigte Liste mit bekannten, aber nicht trackenden Seiten wünschenswert.

Eine Empfehlung ist das CanvasBlocker Add-on sicherlich wert.

download canvas blocker



[Firefox Addon] Sicher ist Sicher - Phishing Schutz für Facebook

Mit seinen Millionen von Nutzern ist Facebook ständiges Opfer von Spam und Phishing Attacken. Für den Firefox wurde nun eine Facebook Phishing Protector Erweiterung veröffentlicht, die vor solchen Angriffen schützen soll.

phishing-protector-fb

Das Add-on bringt eine Warnung sobald Scripte von nicht sicheren Seiten geladen werden (XSS Injections). Auf der sicheren Seite, der sogenannten Whitelist befinden sich momentan Google Analytics, was für Statistiken benötigt wird und Google selbst, aufgrund des Recaptcha Service, mehr werden laut Entwickler nicht benötigt.

Leider hatte ich noch keine Möglichkeit das Add-on in Aktion zu testen, vielleicht habt ihr ja ein Feedback.