Skip to main content

Unterstützte Endpunktkonfiguration

Sicherheit Header

Sicherheits-Header sind HTTP-Response-Header, die verwendet werden können, um die Sicherheit Ihrer Anwendung zu erhöhen. In anderen Worten, diese Header weisen den Webbrowser an, Sicherheitsvorkehrungen zu aktivieren, die Ihre Website vor Angriffen schützen.

Unterstützte Header

Strict-Transport-Security

Strict-Transport-Security ist eine Web-Sicherheitsrichtlinie, die einen Schutz für Websites gegen Protokoll-Downgrade-Angriffe und Cookie-Hijacking. Diese Richtlinie ermöglicht Webservern die Interaktion über sichere HTTPS-Verbindungen statt des unsicheren HTTP-Protokolls.

X-Frame-Options

Der X-Frame-Options-Header verbessert den Schutz von Webanwendungen vor Clickjacking. Dies deaktiviert die iframes auf der Website und gestattet anderen nicht, Ihre Inhalte einzubetten.

X-XSS-Protection

X-XSS-Protection ermöglicht Entwicklern, das Verhalten des Cross-Site Scripting-Sicherheitsfilters zu ändern. Diese Filter identifizieren unsicheren HTML-Input und blockieren entweder das Laden der Website oder entfernen potenziell schädliche Skripts.

X-Content-Type-Options

Dieser Header wird in der Regel zur Kontrolle der MIME-Type-Sniffing-Funktion in Webbrowsern verwendet. Falls der Content-Type-Header leer ist oder fehlt, identifiziert der Browser den Inhalt und versucht, die Quelle in geeigneter Weise anzuzeigen.

Content-Security-Policy

Dieser Header sorgt für eine zusätzliche Sicherheitsschicht gegen mehrere Sicherheitslücken wie XSS, Clickjacking, Protocol-Downgrading und Frame-Injection. Wenn er aktiviert ist, hat dies eine erhebliche Auswirkungen auf die Art und Weise, wie der Browser Seiten darstellt.

X-Permitted-Cross-Domain-Policies

Eine Cross-Domain-Policy-Datei ist ein XML-Dokument, die einem Webclient, wie z. B. Adobe Flash Player oder Adobe Acrobat erlaubt, Daten domänenübergreifend zu nutzen.

Referrer-Policy

Der Referrer-Policy-Header regelt, welche im Referrer-Header gesendeten Informationen in Anfragen verwendet werden. Dieser Sicherheits-Header kann in Kommunikationen von dem Server der Website zum Client einbezogen werden.

Feature-Policy

Der Feature-Policy-Header bietet einen Mechanismus, der Browser-Funktionen und APIs im eigenen Frame zulässt oder verbietet.

Access-Control-Allow-Origin

Der Access-Control-Allow-Origin-Header ist in der Antwort einer Website auf einen Antrag einer anderen Website enthalten. Er erkennt auch die zulässige Herkunft des Antrags.

Expect-CT

Dieser Response-Type-Header verhindert den Einsatz fälschlich ausgestellter Zertifikate auf einer Website und stellt sicher, dass diese nicht unbeachtet bleiben.

Public-Key-Pins

Dieser Response-Header ist ein Sicherheitsmechanismus, der es HTTPS-Websites erlaubt, einem Identitätsdiebstahl durch Angreifer anhand von fälschlich ausgestellten oder betrügerischen Zertifikaten zu widerstehen.

Wie wirken sich Header auf die Serverbewertung aus?

Der Strict-Transport-Security-Header wird z. B. bewertet. Die Erklärung folgt:

Validierung

Serverbewertung

max. Alter < 10368000 (120 Tage)

Gefährdet

Höchstalter >= 10368000 und Höchstalter < 31536000 (1 Jahr)

Sicher

max. Alter >= 31536000 (1 Jahr)

Sehr sicher

Anmerkung

Strict-Transport-Security wird nur bewertet, wenn der Antrag erfolgreich ist (HTTP 200 OK).

HTTP-Response-Header

HTTP-Response-Header enthalten Informationen wie das Datum, die Größe und den Typ der Datei, die der Webserver nach Erhalt eines HTTP-Antrags zurück an den Browser sendet.

Alle in HTTP-Response empfangenen Header können analysiert werden.

Code

Für eine sichere Kommunikation müssen sich TLS-Client und Server auf die kryptografischen Algorithmen und Schlüssel einigen, die beide für eine gesicherte Verbindung verwenden.

Es sind jedoch zahlreiche Kombinationen möglich. TLS erlaubt nur bestimmte, genau definierte Kombinationen dieser Möglichkeiten, die als Verschlüsselungssammlungen bezeichnet werden.

Discovery identifiziert alle vom Server unterstützten Verschlüsselungssammlungen und klassifiziert sie in „Unsicher“-, „Schwach“- und „Sicher“-Kategorien basierend auf Best Practices der Branche.

Schwach

  • Verschlüsselungssammlung mit AES mit CBC-Modus

  • 3DES

Unsicher

  • RC4

  • EXPORT-Chiffren.

  • Chiffren mit MD5

  • Null-Chiffren

  • Chiffren mit anonymer Authentifizierung

  • DES

Anmerkung

Die Kategorie „Sicher“ enthält empfohlene Verschlüsselungssammlungen, deren Verwendung sicher ist.