HTTP-Header von ComputerBase.de

Moin,

von Scott Helme gibt es ein interessantes Projekt: securityheaders.io

Aus dem About:

Why?
There are services out there that will analyse the HTTP response headers of other sites but I also wanted to add a rating system to the results. The HTTP response headers that this site analayses provide huge levels of protection and it's important that sites deploy them. Hopefully, by providing an easy mechanism to assess them, and further information on how to deploy missing headers, we can drive up the usage of security based headers across the web.

Zum Vergrößern anklicken....

Das Ergebnis von ComputerBase: https://securityheaders.io/?q=http://computerbase.de

Könnt / Wollt ihr in der Richtung was machen, liebes ComputerBase-Team? Mich würde es freuen!

Beste Grüße,
Malte

Den Test kenne ich. Es werden vier Dinge moniert: Content-Security-Policy, X-Frame-Options, X-XSS-Protection und X-Content-Type-Options.

Eine (ziemlich strikte) Content Security Policy nutzen wir auf Seiten außerhalb des Forums, auf denen es keine Bannerwerbung gibt. Wenn man ComputerBase Pro nutzt, dann also bei allen Seitenaufrufen außerhalb des Forums. Und auf ein paar einzelnen Seiten ohne Bannerwerbung immer (zum Beispiel auf der Login-Seite und auf der Seite zum Bestellen von ComputerBase Pro). Auf Seiten mit Bannerwerbung ist es technisch leider unmöglich, eine Content Security Policy zu nutzen, die nicht so lasch ist, dass man sich sie auch gleich sparen kann.

"X-Frame-Options: DENY" verwenden wir auf ein paar besonders schützenswerten Seiten (erneut zum Beispiel auf der Login-Seite und auf der Seite zum Bestellen von ComputerBase Pro). Wir nutzen diesen Header nicht auf allen Seiten, weil die Google-Bildersuche Seiten in einem IFrame darstellt, was bei Verwendung von "X-Frame-Options: DENY" nicht mehr funktionieren würde. Oder kennt hier jemand eine Lösung?

"X-XSS-Protection" scheint überflüssig zu sein: "This header enables the Cross-site scripting (XSS) filter built into most recent web browsers. It's usually enabled by default anyway, so the role of this header is to re-enable the filter for this particular website if it was disabled by the user." - https://www.owasp.org/index.php/List_of_useful_HTTP_headers

"X-Content-Type-Options" könnten wir eventuell auf pics.computerbase.de verwenden (nur dort gibt es User-Uploads). Das werde ich mir nochmal ansehen!

Wir senden jetzt immer "X-XSS-Protection" und "X-Content-Type-Options". Den Nutzen halte ich im konkreten Fall dieser beiden Header auf ComputerBase wie oben gesagt für überschaubar, aber ich denke die paar zusätzlichen Bytes (wobei die halt schon bei jedem einzelnen Request anfallen...) können wir verkraften.

Seiten ohne Bannerwerbung bekommen dadurch jetzt die Note "B" (https://securityheaders.io/?q=https://www.computerbase.de/login/). Genutzt werden: Content-Security-Policy, X-Frame-Options, X-XSS-Protection und X-Content-Type-Options. Die beiden verbliebenden Kritikpunkte (Strict-Transport-Security und Public-Key-Pins) lassen sich nicht ändern, ohne alle ComputerBase-Seiten ausnahmslos via HTTPS auszuliefern. Das würden wir aus verschiedenen Gründen sehr gerne tun, momentan machen uns (wie vielen anderen Seiten auch) die Werbebanner aber einen Strich durch die Rechnung.

Seiten mit Bannerwerbung bekommen jetzt immerhin ein "D" (https://securityheaders.io/?q=http://www.computerbase.de/&hide=on). Mehr ist mit Bannerwerbung leider nicht drin.

Da bedanke ich mich sprachlos für die schnelle, ausführliche und technisch versierte Antwort.