O.Arch 9
Beschreibung
Die Web-Anwendung SOLL HTTP-Server-Header nutzen, die dem aktuellen Stand der Technik entsprechen und die Sicherheit der Anwendung erhöhen. Dazu gehören unter anderem HTTP Strict Transport Security (HSTS), Content Security Policy (CSP) und X-Frame-Options.
Kurzfassung
Verwendung von dem Stand der Technik entsprechenden HTTP-Server-Headern.
Anmerkungen
Prüftiefe
- CHECK
Der Evaluator prüft, ob entsprechende HTTP-Server-Header verwendet werden. Falls keine dem Stand der Technik entsprechenden HTTP-Server-Header verwendet werden, ist dies in der Risikobewertung zu berücksichtigen.
Lösungsansätze
Implementierung
- Security Headers
- Security Headers sind HTTP-Header, die auf Webseiten und Webanwendungen verwendet werden, um die Sicherheit und den Schutz vor verschiedenen Arten von Angriffen und Sicherheitslücken zu verbessern. Sie bieten eine wichtige Sicherheitsebene, um Benutzer und Daten vor Bedrohungen zu schützen [1].
Bekannte Sicherheitsheader sind beispielsweise:
- Content Security Policy (CSP)
- X-Content-Type-Options
- Referrer-Policy
- Strict-Transport-Security (HSTS)
- X-Frame-Options
- Permission-Policy
- X-XSS-Protection
- Content Security Policy (CSP)
- CSP legt fest, welche Ressourcen auf einer Seite geladen werden dürfen und hilft so, Cross-Site-Scripting (XSS)-Angriffe zu verhindern.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von CSP
Content-Security-Policy: default-src 'self'; script-src 'self' https://apis.google.com
- X-Content-Header
- Die X-Content-Type-Options sind ein Sicherheitsheader, der den Browser anweist, den MIME-Typ von Ressourcen nicht zu erraten und ihnen stattdessen zu vertrauen, wie er vom Server bereitgestellt wird.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von X-Content-Header
X-Content-Type-Options: nosniff
- Referrer-Policy
- Der Referrer-Policy-Header legt die Richtlinie für das Übermitteln von Referrern fest, wenn der Benutzer von einer anderen Website aus auf Ihre Seite zugreift.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von Referrer-Policy
Referrer-Policy: strict-origin-when-cross-origin
In diesem Beispiel wird der Referrer nur weitergegeben, wenn die Herkunfts-URL dieselbe ist, ansonsten wird er auf den Ursprung reduziert.
- HTTP Strict Transport Security (HSTS)
- HSTS stellt sicher, dass die Webanwendung ausschließlich über eine verschlüsselte Verbindung (HTTPS) erreichbar ist und schützt somit vor man-in-the-middle-Angriffen.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von HSTS
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
- X-Frame-Option
- X-Frame-Options verhindert das Laden der Webseite in einem <frame>, <iframe> oder <object> und schützt so vor Clickjacking-Angriffen.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von x-Frame-Options
X-Frame-Options: DENY
- Permission-Policy
- Die Permission-Policy legt die Berechtigungen fest, die eine Webseite anfordern kann.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von Permission-Policy
Permissions-Policy: geolocation=(), microphone=()
In diesem Beispiel sind die Berechtigungen für die Geolokalisierung und das Mikrofon deaktiviert.
- X-XSS-Protection
- Der X-XSS-Protection-Header aktiviert den XSS-Schutz im Browser und verhindert das Laden einer Seite, wenn ein XSS-Angriff erkannt wird.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von X-XSS-Protection
X-XSS-Protection: 1; mode=block
Der Modus block verhindert, dass der Browser versucht, die Seite zu reparieren, wenn ein XSS-Angriff festgestellt wird.
Validierung
Die Implementierung von Security Header ist auf unterschiedliche Weisen möglich:
- Manuell im Webbrowser
- Durch das Wechseln in die Entwicklertools des Webbrowsers kann man die gesendeten Header im Reiter Netzwerk überprüfen.
- Online-Tools
- Die Anwendung der Security Headers kann beispielsweise mit SecurityHeaders.com validiert werden.
Weblinks
Strict-Transport-Security (HSTS)
Ressoucen und Einzelnachweise
Matthias Petri:Security Headers für deine Website: gut für Sicherheit und SEO aufgerufen am 15.05.2024