Unterstützte Endpunktkonfiguration

Security-Header

Sicherheits-Header beschreibt HTTP-Response-Header, die verwendet werden können, um die Sicherheit Ihrer Anwendung zu erhöhen. In anderen Worten, diese Header weisen den Webbrowser an, eine Reihe von Sicherheitsvorkehrungen zu aktivieren, die Ihre Website vor Angriffen schützen.

Unterstützte Header

Strict-Transport-Security

Strict-Transport-Security ist eine Web-Sicherheitsrichtlinie, die einen Schutz für Websites gegen Protokoll-Downgrade-Angriffe und Cookie-Hijacking. Diese Richtlinie ermöglicht Webservern die Interaktion über sichere HTTPS-Verbindungen statt des unsicheren HTTP-Protokolls.

X-Frame-Options

X-Frame-Options-Response-Header verbessern den Schutz von Webanwendungen vor Clickjacking. Dies deaktiviert die iframes auf der Website und gestattet anderen nicht, Ihre Inhalte einzubetten.

X-XSS-Protection

X-XSS-Protection ermöglicht Entwicklern, das Verhalten des Cross-Site Scripting-Sicherheitsfilters zu ändern. Diese Filter identifizieren unsicheren HTML-Input und blockieren entweder das Laden der Website oder entfernen potenziell schädliche Skripts.

X-Content-Type-Options

Dieser Header wird in der Regel zur Kontrolle der MIME-Type-Sniffing-Funktion in Webbrowsern verwendet. Falls der Content-Type-Header leer ist oder fehlt, identifiziert der Browser den Inhalt und versucht, die Quelle in geeigneter Weise anzuzeigen.

Content-Security-Policy

Dieser Header sorgt für eine zusätzliche Sicherheitsschicht gegen mehrere Sicherheitslücken wie XSS, Clickjacking, Protocol-Downgrading und Frame-Injection. Wenn er aktiviert ist, hat dies erhebliche Auswirkungen auf die Art und Weise, wie der Browser Seiten darstellt.

X-Permitted-Cross-Domain-Policies

Eine Cross-Domain-Policy-Datei ist ein XML-Dokument, die einem Webclient, wie z. B. Adobe Flash Player oder Adobe Acrobat (jedoch nicht notwendigerweise auf diese beschränkt), erlaubt, Daten domänenübergreifend zu nutzen.

Referrer-Policy

Der Referrer-Policy-HTTP-Header regelt, welche im Referrer-Header gesendeten Informationen in Anfragen verwendet werden. Mit anderen Worten, dieser Sicherheits-Header kann in Kommunikationen vom der Server der Website zum Client einbezogen werden.

Feature-Policy

Der Feature-Policy-Header bietet einen Mechanismus, der Browser-Funktionen und APIs im eigenen Frame zulässt oder verbietet.

Access-Control-Allow-Origin

Der Access-Control-Allow-Origin-Header ist in der Antwort einer Website auf einen Antrag einer anderen Website enthalten und erkennt auch die zulässige Herkunft des Antrags.

Expect-CT

Dieser Response-Type-Header verhindert den Einsatz fälschlich ausgestellter Zertifikate auf einer Website und stellt sicher, dass diese nicht unbeachtet bleiben.

Public-Key-Pins

Dieser Response-Header ist ein Sicherheitsmechanismus, der es HTTPS-Websites erlaubt, einem Identitätsdiebstahl durch Angreifer anhand von fälschlich ausgestellten oder betrügerischen Zertifikaten zu widerstehen.

Wie Header sich auf die Servereinstufung auswirken

Der Strict-Transport-Security-Header z. B. wird bewertet. Die Erklärung folgt:

Validierung Serverbewertung
Höchstalter < 10368000 (120 days) At risk
max-age >= 10368000 und Höchstalter < 31536000 Secure
max-age >= 31536000 (1 Jahr) Sehr sicher

Strict-Transport-Security wird nur bewertet, wenn der Antrag erfolgreich ist (HTTP 200 OK).

HTTP-Response-Header

HTTP-Response-Header enthalten Informationen wie das Datum, die Größe und den Typ der Datei, die der Webserver nach Erhalt eines HTTP-Antrags zurück an den Browser sendet.

Alle in HTTP-Response empfangenen Header können analysiert werden.

Code

Für eine sichere Kommunikation müssen sich TLS-Client und Server auf die kryptografischen Algorithmen und Schlüssel einigen, die beide für eine gesicherte Verbindung verwenden.

Die möglichen Kombinationen bieten jedoch zahlreiche Wahlmöglichkeiten und TLS erlaubt nur bestimmte, genau definierte Kombinationen aus diesen Wahlmöglichkeiten, die sogenannten Cipher Suites (Verschlüsselungssammlungen).

Discovery identifiziert alle vom Server unterstützten Verschlüsselungssammlungen und klassifiziert sie in „Unsicher“, „Schwach“ und „Sicher“-Kategorien basierend auf Best Practices der Branche.

Schwach

  1. Verschlüsselungssammlung mit AES mit CBC-Modus
  2. 3DES

Unsicher

  1. RC4
  2. EXPORT-Chiffren.
  3. Chiffren mit MD5
  4. Null-Chiffren
  5. Chiffren mit anonymer Authentifizierung
  6. DES

Die Kategorie “Sicher” enthält empfohlene Verschlüsselungssammlungen, deren Verwendung sicher ist.