O.Arch 9: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
D.hack (Diskussion | Beiträge) |
||
Zeile 13: | Zeile 13: | ||
Der Evaluator prüft, ob entsprechende HTTP-Server-Header verwendet werden. Falls keine dem Stand der Technik entsprechenden HTTP-Server-Header verwendet werden, ist dies in der Risikobewertung zu berücksichtigen. | Der Evaluator prüft, ob entsprechende HTTP-Server-Header verwendet werden. Falls keine dem Stand der Technik entsprechenden HTTP-Server-Header verwendet werden, ist dies in der Risikobewertung zu berücksichtigen. | ||
== Lösungsansätze == | == Lösungsansätze == | ||
=== Implementierung === | |||
[https://semediwiki.labs.inf.fh-dortmund.de/index.php/O.Arch_9 Security Headers] | |||
:Security Headers sind HTTP-Header, die auf Webseiten und Webanwendungen verwendet werden, um die Sicherheit und den Schutz vor verschiedenen Arten von Angriffen und Sicherheitslücken zu verbessern. Sie bieten eine wichtige Sicherheitsebene, um Benutzer und Daten vor Bedrohungen zu schützen [https://www.tutkit.com/de/blog/200-security-headers-fuer-deine-website-gut-fuer-sicherheit-und-seo]. | |||
Bekannte Sicherheitsheader sind beispielsweise: | |||
# [https://content-security-policy.com/ Content Security Policy (CSP)] | |||
# [https://http.dev/x-content-type-options X-Content-Type-Options] | |||
# [https://www.w3.org/TR/referrer-policy/ Referrer-Policy] | |||
# [https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Strict_Transport_Security_Cheat_Sheet.html Strict-Transport-Security (HSTS) ] | |||
# [https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html X-Frame-Options] | |||
# [https://www.w3.org/TR/permissions-policy/ Permission-Policy] | |||
# [https://www.ibm.com/docs/de/control-desk/7.6.1.x?topic=checklist-vulnerability-web-browser-xss-protection X-XSS-Protection] |
Version vom 15. Mai 2024, 10:26 Uhr
Beschreibung
Die Web-Anwendung SOLL HTTP-Server-Header nutzen, die dem aktuellen Stand der Technik entsprechen und die Sicherheit der Anwendung erhöhen. Dazu gehören unter anderem HTTP Strict Transport Security (HSTS), Content Security Policy (CSP) und X-Frame-Options.
Kurzfassung
Verwendung von dem Stand der Technik entsprechenden HTTP-Server-Headern.
Anmerkungen
Prüftiefe
- CHECK
Der Evaluator prüft, ob entsprechende HTTP-Server-Header verwendet werden. Falls keine dem Stand der Technik entsprechenden HTTP-Server-Header verwendet werden, ist dies in der Risikobewertung zu berücksichtigen.
Lösungsansätze
Implementierung
- Security Headers sind HTTP-Header, die auf Webseiten und Webanwendungen verwendet werden, um die Sicherheit und den Schutz vor verschiedenen Arten von Angriffen und Sicherheitslücken zu verbessern. Sie bieten eine wichtige Sicherheitsebene, um Benutzer und Daten vor Bedrohungen zu schützen [1].
Bekannte Sicherheitsheader sind beispielsweise: