Sonar: Kostenloses Tool von Microsoft hilft dir Fehler auf deiner Website aufzuspüren
In der Vergangenheit legte Microsoft nicht viel Wert auf Webstandards. Aber spätestens mit dem neuen Browser Edge ist man auch bei Microsoft interessiert daran, sich an HTML- und CSS-Standards zu halten. Mit Sonar gibt es nun sogar ein Tool, welches Websites auf die Einhaltung solcher Standards überprüft. Darüber hinaus weist Sonar auf Optimierungsmöglichkeiten und auf Sicherheitsmängel hin.
Sonar: Website angeben und auf Ergebnisse warten
Um deine Website mit dem Tool zu prüfen, gibst du ganz einfach die URL deiner Website an und wartest auf die Ergebnisse. Es kann ein paar Minuten dauern, bis Sonar deine Website geprüft hat. Über einen Permalink rufst du die Ergebnisse anschließend einfach ab.
Übersicht der Ergebnisse
Sonar prüft deine Website in fünf verschiedenen Kategorien. Als erstes ist die Barrierefreiheit an der Reihe. Dabei richtet sich Sonar an die WCAG-Richtlinie des W3C, die vorgibt, wie eine Website ausgezeichnet sein muss, damit sie als barrierefrei gilt. Dazu gehört zum Beispiel, dass Nicht-Text-Inhalte wie Bilder mit alternativen Informationen für Sehbehinderte ausgezeichnet werden.
Die zweite Kategorie beschäftigt sich mit Interoperabilität und prüft zum Beispiel, ob eine Website mit validem HTML ausgezeichnet wurde und ob alle wichtigen Angaben im HTML-Kopf gemacht wurden. Dazu zählen unter anderem Angaben zum Zeichensatz und zum Viewport.
Speziell für den Internet Explorer prüft Sonar, ob Fehlerseiten eine Mindestgröße von 256 Bytes haben, da der alte Microsoft-Browser ansonsten eigene Fehlerseiten ausgibt.
Sonar macht Optimierungsvorschläge für schnellere Websites
In der Kategorie Performance bekommst Vorschläge gemacht, wie deine Website schneller und performanter werden kann. So findet Sonar unter anderem heraus, ob du in Sachen Bildkomprimierung bereits alles gegeben hat. Sonar verrät dir sogar, wie viele Kilobytes du bei entsprechend guter Komprimierung einsparen kannst.
Performance-Vorschläge
Wer Accelerated Mobile Pages (AMP) nutzt, um Inhalte einer Website speziell für Mobilgeräte auszugeben, wird per Sonar auch über Fehler bezüglich der AMP-Auszeichnung informiert.
Das Besondere an AMP ist, dass solch ausgezeichnete Inhalte schneller geladen werden können, da sie auf speziellen Servern zwischengespeichert sind. Dieses Zwischenspeichern funktioniert jedoch nur, wenn die Auszeichnung valide ist. Neben Google unterstützt im Übrigen auch Microsofts Suchmaschine Bing AMP.
Unterstützung von Progressive Web Applications (PWA)
Noch eine weitere recht neue Technologie wird unterstützt: nämlich Progressive Web Applications. Darunter versteht man Webanwendungen, die fast wie native Apps auf Smartphones und Tablets laufen.
Sonar prüft hierbei, ob das notwendige Manifest für PWAs vorhanden ist und ob entsprechende Icons zur Darstellung auf dem Startbildschirm existieren. Außerdem prüft Sonar, ob ein App-Name im Manifest angegeben ist. All diese Angaben sind notwendig, damit eine Website als Progressive Web Application auf einem Mobilgerät ausgeführt werden kann.
Sonar hilft Sicherheitsmängel festzustellen
Zu guter Letzt wird geprüft, ob eine Website Sicherheitsmängel aufweist, die zum Beispiel Angriffe auf eine Website begünstigen können. So prüft Sonar zum Beispiel, ob bestimmte verzichtbare und potenziell unsichere Header verschickt werden.
Sicherheitsvorschläge
So kann es beispielsweise vorkommen, dass Servertechnologien wie PHP und ASP.NET Informationen über die verwendete Technologie und Version über einen Header ausgeben. Für einen Hacker sind solche Informationen interessant, da es einfacher ist, vorhandene Sicherheitslücken in der Technologie auszunutzen.
Ebenfalls geprüft wird, ob bei Verweisen protokoll-relative Links verwendet werden. So sollten Links grundsätzlich immer mit „http://“ oder „https://“ beginnen. Seitdem verschlüsselte Websites immer mehr Beachtung finden, beginnen – zum Beispiel beim Einbinden von JavaScript von Fremdanbietern wie Google – Links einfach mit „//“, was dazu führt, dass immer das Protokoll der einbindenden Website verwendet wird.
Auch in Sachen Cookies informiert Sonar dich, ob diese so gesetzt sind, dass keine Gefahr ausgeht. Im Idealfall werden Cookies nur von sicheren Verbindungen akzeptiert und können nur per HTTP (also nicht per JavaScript) ausgelesen werden.
sonar liefert zusätzliche Informationen zu Fehlern und Warnungen
Neben der Übersicht, die über die Anzahl der Fehler und Warnungen jeder Kategorie informiert, erhältst du eine Liste mit allen gefundenen Fehlern beziehungsweise Warnungen. Dort ist kurz und knapp erklärt, was du verbessern beziehungsweise in Ordnung bringen solltest.
Außerdem gibt es zu jedem Punkt einen Link zur Sonar-Dokumentation, in der du eine ausführliche Beschreibung erhältst, was geprüft wurde, wie es geprüft wurde und warum es wichtig und sinnvoll ist, den entsprechenden Fehler oder die Warnung aus der Welt zu schaffen.
Sonar selbst installieren
Microsoft hat Sonar unter Open-Source-Lizenz gestellt und bietet den Quelltext zum Herunterladen an. So kannst du dir das Tool selbst auf einem Server installieren. Voraussetzung ist, dass dort Node.js läuft.
Nach der Einrichtung von Sonar kannst du deine Webprojekte bequem über die Kommandozeile starten. So lässt sich das Tool nach deinen Wünschen konfigurieren.
So legst du Beispielsweise fest, welche Regeln geprüft werden sollen und welche für dich verzichtbar sind.
Also das Tool ist aber schon ziemlich komisch. Wer nach Fehlern scannt, sollte schon rudimentär mit HTML umgehen können. Das Teil ignoriert nämlich einen BASE-Tag im HEAD und mosert dann nicht vorhandenen Bilder an, weil es an der falschen Stelle sucht, da es eben BASE-HREF nicht beachtet.
Außerdem werden bspw. überflüssige HTTP-Header gleich mal als Fehler ausgegeben, obwohl das bestenfalls eine Warnung ist.
Auch die Security-Fehler sind mehr als grenzwertig.
So ist das Tool jedenfalls nicht zu gebrauchen.
Ein interessantes Analyse-Werkzeug. Danke für den Tipp!
Wie aber das mit der HEADER SECURITY funktionieren soll weiß ich nicht.