Wo wir gerade bei Mozilla und dem Testen von Webseiten-Verschlüsselung waren, hier gleich noch ein nettes Tool von Mozilla: das Observatory. Der Online-Check überprüft Webseiten ähnlich wie der Test von Qualy SSL Labs auf Probleme mit der Verschlüsselung, auf fehlende oder falsch konfigurierte Security-Header, HTTPS-Umleitungsprobleme u.a.
Wer wert auf die Sicherheit seiner Besucher legt, sollte sich das mal anschauen. Zwar sind nicht alle Features für jede Webseite umsetzbar (ich kann z.B. in diesem Blog keine Inline-Javascripte verbieten und Public Key Pinning ist auch so ein Sache), aber besser als nichts.
Tatsächlich gibt es auch Argumente gegen die Umsetzung:
- man ist auf die Browserunterstützung angewiesen
- Performancegründe: HTTP-Header werden weiter aufgebläht
- Inkompatibilitäten mit der zu schützenden Webseite
In der Ergebnis-Zusammenfassung kann man sich durch einen Klick auf den jeweiligen Eintrag auch eine Erklärung anzeigen lassen. Eventuell werd ich hierzu nochmal einen Blogeintrag verfassen, der sich mit den Security-Header und der Umsetzung im Apache 2 u. nginx beschäftigt.
Update 11.06.2019: Ich habe heute eine nette Email von Janis von Bleichert erhalten, der die Webseite https://www.experte.de betreibt. Er hat einen kostenlosen Security-Check geschrieben, der inhaltlich über Mozilla’s Observatory hinaus geht und die Ergebnisse übersichtlich untereinander darstellt. Sollte man sich durchaus mal anschauen.