Artikel mit Tag xss

Webserver HTTP Header auf Sicherheit überprüfen

Der Header zählt zu den interessanteren Informationen eines Webservers, bleibt dem Otto-Normal-Surfer aber meist verborgen.

Über ihn lassen sich nicht nur Informationen über den laufenden Server erfahren, mit Hilfe des Headers können auch zusätzliche Sicherheitsmechanismen aktiviert werden, sogenannte "Security-related HTTP Headers". Sie werden im Feld "Content-Security-Policy" übermittelt.

Diese Funktionen dienen unter anderem dem Schutz vor Cross Site Scripting (XSS), aber auch der erhöhten Sicherheit, wie beispielsweise HTTP Strict Transport Security (HSTS).

Das Open Web Application Security Project listet die wichtigsten davon auf .

securityheaders.io

Die Webseite securityheaders.io überprüft genau diese Sicherheitseinstellungen auf Aktivität. Sie vergibt dabei Bewertungen, je nach Einsatz, von A+ (sehr gut) bis F (sehr schlecht).

Der Aufbau erinnert an den bekannten TLS-Online-Server-Test von SSLLabs, denn sogar das Feld "Hide Results" (Ergebnisse des Scans verstecken) wurde übernommen. Hier darf der Haken gerne gesetzt werden.

Eine weiteres Ergebnis außerhalb des Scorings ist R. Dies bedeutet, dass die untersuchte Webseite weitergeleitet wird.

securityheaders.io-redirect

Fazit

Als Ergänzung zum Online-Test von SSLLabs oder vergleichbaren Tools wie SSLyze bietet securityheaders.io eine zusätzliche Möglichkeit Webserver auf ihre Sicherheitseinstellungen zu überprüfen.

Secure Login - Firefox Erweiterung für den Passwortmanager

Ich bin die Tage mal wieder über eine sehr praktische Erweiterung für den Firefox Browser gestolpert, die ich bisher noch nicht kannte. 

Secure Login 

Secure Login nennt sich das gute Stück und bereichert den in Firefox integrierten Passwortmanager um praktische Funktionen .

So werden hinterlegte Zugangsdaten nach der Installation automatisch in die Loginformulare eingetragen. Das heißt für einen Login über eine Eingabeformular ist nur noch das Betätigen der Enter Taste oder eines Tastaturkürzels (Strg+N) notwendig.

Secure-Login-Firefox

In den Einstellungen kann zusätzlich ein Secure Login Lesezeichen aktiviert werden, welches einen direkten Zugang aus den Favoriten heraus bietet. Zusätzlich Sicherheit bietet der ebenfalls optional angebotene Schutz vor bösartigem JavaScript-Code oder Cross-Site Scripting (XSS) Attacken.

Secure Login

Schlussendlich ein wirklich praktisches Add-on, das keine zusätzlichen Ressourcen benötigt, da es nur beim Login Vorgang aktiv ist. Ich kann es also nur empfehlen.

secure login

[Firefox Addon] Sicher ist Sicher - Phishing Schutz für Facebook

Mit seinen Millionen von Nutzern ist Facebook ständiges Opfer von Spam und Phishing Attacken. Für den Firefox wurde nun eine Facebook Phishing Protector Erweiterung veröffentlicht, die vor solchen Angriffen schützen soll.

phishing-protector-fb

Das Add-on bringt eine Warnung sobald Scripte von nicht sicheren Seiten geladen werden (XSS Injections). Auf der sicheren Seite, der sogenannten Whitelist befinden sich momentan Google Analytics, was für Statistiken benötigt wird und Google selbst, aufgrund des Recaptcha Service, mehr werden laut Entwickler nicht benötigt.

Leider hatte ich noch keine Möglichkeit das Add-on in Aktion zu testen, vielleicht habt ihr ja ein Feedback.