Securityheaders.io: Wie sicher ist dein Server wirklich?

Die Sicherheit ist ein bei Website-Betreibern gern vernachlässigtes Thema. Um alles wird sich gekümmert, neue Funktionen implementiert und für ein schickes Design gesorgt. Doch eines Tages ist es vielleicht zu spät und deine Website ist gehackt worden. Um dieses wirklich unschöne Gefühl niemals Realität werden zu lassen, bedarf es einer Strategie und etwas Einsatz. Wenn du zudem noch einen eigenen Server hast, solltest du dich erst recht um seine Sicherheit kümmern. Diese umzusetzen ist oftmals recht einfach. Um dich dabei zu unterstützen, stelle ich dir heute das Online-Tool securityheaders.io vor, das dir die Schwächen deines Servers zeigt und dir Ratschläge gibt, wie du sie abstellst.

Securityheaders: Wie sicher ist dein Server wirklich?

Securityheaders.io – Analyse der HTTP-Header

securityheaders.io

Securityheaders.io heißt der Online-Dienst, der anhand der gesendeten HTTP-Response-Header feststellen kann, wie sicher dein Server ist. Natürlich existieren mittlerweile viele Dienste, welche die HTTP-Response-Header analysieren können. Doch das Besondere an securityheaders ist das Rating-System, in dem die Ergebnisse einsortiert werden. Dieses Rating-System sortiert die Ergebnisse in einen Bereich von A bis F ein. Das A steht hierbei für einen hervorragend abgesicherten Server, das F hingegen steht für einen sehr schlechten Sicherheitszustand.

Der Online-Dienst mit seinem Betreiber Scott Helme möchte zu mehr Sicherheit im Internet beitragen. Denn es werden nicht nur die Response-Header analysiert, sondern auch handfeste Tipps gegeben, wie die Sicherheitsprobleme zu beheben sind. Denn das Senden der richtigen HTTP-Response-Header verspricht ein hohes Maß an zusätzlicher Sicherheit, und sollte daher umgesetzt werden. Der zeitliche Aufwand hierfür ist vergleichsweise gering, der Zuwachs an potenzieller Sicherheit jedoch groß.

Sehr viele Server sind potenziell unsicher

Wer mit dem Online-Tool etwas herum experimentiert, wird schnell feststellen, dass der überwiegende Teil der geprüften Server potenziell unsicher ist. Egal, welche Domain ich eingab und testete, jedes Mal bekam ich ein F zu sehen. Auch bei meinen eigenen Websites. Bisher ging ich davon aus, dass ein Managed-Server oder ein Managed-WordPress-Hosting sicher sei und man sich um diesen Bereich nicht kümmern müsse. Nun weiß ich, dass Managed nicht gleich sicher bedeutet. Auch Shared-Hosting-Systeme sind nicht sicherer, denn auch dort bekam ich ein F zu sehen.

Ein schlechtes Scan-Resultat bei securityheaders

Eine potenziell schlechte Sicherheit wird nicht nur mit einem F im Rating-System versehen, sondern auch noch farblich rot unterlegt, um die Unsicherheit zu visualisieren. Sehr sichere Server hingegen bekommen demzufolge eine grüne Farbe, wie ein Scan der securityheaders-Website zeigte.

Ein gutes Scan-Resultat bei securityheaders

Gute Erklärungen der Ergebnisse und Tipps zum Umsetzen

Jedes (schlechte) Scan-Resultat zeigt genau auf, welche HTTP-Response-Header fehlen. Eine kurze Erklärung erläutert dir, warum diese Header wichtig sind und welche Auswirkungen die fehlenden Header haben können.

Die fehlenden Response-Header meiner Website
Die Erklärungen zu den fehlenden Response-Headern

Die einzelnen Ergebnisse sind mit Links versehen, hinter denen sich gute und fundierte Fachartikel zu den einzelnen Bereichen verbergen. Auf diese Weise lernst du viel über die jeweiligen Header. Und du weißt im Anschluss genau, was du umsetzen solltest und vor allem auch warum. Hinter dem fehlenden Header »Content-Security-Police« verbirgt sich der Artikel „Content Security Policy – An Introduction„. Zudem existieren gute Erklärungen in deutscher Sprache zu diesem Bereich.

Wie HTTP-Response-Header Server sicherer machen

Der »Content-Security-Police-Header« ist ein guter Schutz gegen das Problem des Cross-Site-Scripting. Sogenannte XSS- oder Cross-Site-Scripting-Angriffe gehören zu den größten Sicherheitsproblemen bei Webanwendungen. Hierbei geht es um einen Schutz gegen von außen in die Website eingebrachten Code. Mittels des »Content-Security-Police«-Headers kann genau festgelegt werden, auf welche Scripte von außen zugegriffen werden kann. Die Grundeinstellung soll nur die Ausführung von Scripten erlauben, die auf dem eigenen Server liegen. Zusätzlich definiert man alle externen Scripte, auf die zugegriffen werden muss. Zum Beispiel Google Adsense und Google Analytics Code. Jeder andere – externe – Code wird ignoriert und demzufolge nicht ausgeführt.

Dies gilt auch für Bilder, Frames und Videos. Also für alle Dinge, die nicht auf dem eigenen Server liegen. Diese Ausnahmen festzulegen ist eine mühsame Angelegenheit. Jedoch wird man mit einem erheblichen Zuwachs an Sicherheit belohnt.

Weitere Response-Header

Vier fehlende HTTP-Response-Header ergab der Scan meiner persönlichen Website. Unter anderem der bereits angesprochene »Content-Security-Header«, der »X-Frame-Options-Header«, der »X-XSS-Protection-Header« und der »X-Content-Type-Options-Header«.

Der »X-Frame-Options-Header« schützt deine Website davor, in einem Frame ausgeführt zu werden. Es existieren durchaus Menschen, die sich im Web mit fremden Federn schmücken wollen. Diese Menschen entwickeln einen Rahmen, in dem deine Website dann mittels eines iFrames integriert wird. So kommt man an gute Inhalte, ohne sie selbst verfassen zu müssen.

Der »X-XSS-Protection-Header« konfiguriert den internen „Cross-Site-Scripting-Filter“, der in den meisten Browsern bereits integriert ist. Mit der empfohlenen Konfiguration „X-XSS-Protection: 1; mode=block“ schützt du deine Besucher vor dem Angriff auf ihren Computer. Folgende Browser unterstützen den Filter: Internet Explorer, Chrome und Safari (Webkit).

Der »X-Content-Type-Options-Header« kann nur den Wert „nosniff“ setzen. Dieser Wert verhindert, dass Internet Explorer und Google Chrome nach anderen MIME-Typen suchen, als durch den deklarierten Content-Type (zum Beispiel text/html) vorgegeben wurde. Google Chrome wird dadurch auch am Herunterladen von Erweiterungen gehindert. Somit sind sogenannte Drive-by-Download-Attacken nicht mehr möglich. Euer Rechner kann somit nicht mehr mit Schadcode infiziert werden. Das gilt natürlich nur für die Website, die diesen Response-Header gesetzt hat.

Fazit

Der Online-Dienst securityheaders kann für erheblich mehr Sicherheit sorgen. Wir können durch den Einsatz der richtigen HTTP-Response-Header nicht nur den eigenen Server absichern, sondern auch die Sicherheit unserer Besucher verbessern. Das Online-Tool zeigt dir genau auf, wo Sicherheitslücken bestehen und wie diese geschlossen werden können.

Links zum Beitrag:

(dpe)

ist freier Journalist, Spezialist für WordPress und WordPress Sicherheit und ist im Internet unterwegs, seit es in Deutschland existiert. Seit 2012 schreibt er für DrWeb. Nebenbei ist er Autor mehrerer E-Books zu den Themen Lebenshilfe, Marketing und WordPress.

Sortiert nach:   neueste | älteste | beste Bewertung
Franz Meyer
Gast
Franz Meyer
2 Monate 25 Tage her

Vielen vielen Dank für diesen Artikel!

Andreas
Gast
Andreas
2 Monate 24 Tage her

Der Artikel ist ziemlich nerdy. Ich hab mal meine Webseite getestes und alles war rot.
Wo muss ich den diese „HTTP-Response-Header“ eintragen? Ein Beispiel wäre gut. Nix für ungut aber ich mache meine Webseite nur als Hobby, deswegen hab keine allzu tiefen Kenntnisse.

reraiseace
Gast
2 Monate 23 Tage her
Du trägst die Header entweder in deiner Serverkonfiguration ein. Die meisten Shared Hoster verwenden den Webserver Apache. Daher schau mal, ob du eine Datei mit dem Namen .htaccess findest oder diese anlegst. Da schreibst du dann die Header rein und prüfst mit der vorgestellten Webseite. Auf securityheaders.io bekommst du auch relativ ausführlich erklärt, was zu tun ist. Alternativ kannst du auch auf meinem Blog schauen. https://reraise.eu/2015/06/19/htaccess-tipps-mehr-sicherheit-fuer-deine-webseite @Andreas Hecht Die Header kannst du selbst via .htaccess etc. setzen. Mit Ausnahme von CSP ist das Alles nur ein bisschen Copy&Paste. Im Grunde liegt es an den Seitenbetreibern, denen das entweder egal ist… Read more »
reraiseace
Gast
2 Monate 22 Tage her

@Andreas Hecht
Du kannst ja alternativ die X-Header setzen. Damit aktivierst du auch schon ein paar Schutzmechanismen, wie XSS-Blocker in Chrome etc. Auch die von dir kürzlich hier vorgestellte 6G Firewall ist zusätzlich ein guter Schutz.

trackback

[…] „#“ auskommentieren. Danke an dieser Stelle an Andreas Hecht von drweb.de für seinen Linktipp zu […]

wpDiscuz

Mit der Nutzung unseres Angebots erklärst du dich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anzubieten und die Zugriffe auf unsere Website zu analysieren. Dadurch geben wir nicht personenbezogene Informationen zur Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Nähere Informationen findest du in unserer Datenschutzerklärung. Durch die Weiternutzung unserer Website (oder das ausdrückliche Klicken auf "Einverstanden") gehen wir davon aus, dass du mit der Verwendung von Cookies einverstanden bist.

Schließen