Sicherheitstest für meine Seite
D +
Bei meiner heutigen Presseschau bin ich auf die beiden golem und heise/ix Artikel zu einem neuen Sicherheitstest von Mozilla für Webseites gestoßen. Den Test erläutert die Entwicklerin April King ebenfalls in einem Eintrag in ihrem eigenen Blog. Über die Seite https://observatory.mozilla.org/ kann man mit wenig Aufwand die eigene Seite überprüfen.
Das ganze habe ich zuerst nicht für relevant erachtet, denn welcher Art sollen schon die Sicherheitslücken in einer statischen Jekyll seite sein, immerhin biete ich ja HTTPS über Let’s Encrypt an (siehe „My New Webpage“). Ich habe aber dennoch einen test gewagt mit einem ernüchternden Ergebnis von D+ :-( So gravierend hätte ich das nicht erwartet, es zeigt mir aber, dass es sich durchaus lohnt etwas an der Stelle zu unternehmen und dass auch simple statische Jekyll Seiten noch verbessert werden können.
Die Schwachstellen liegen offenbar in den Headern:
- Content Security Policy (CSP) header not implemented
- X-Content-Type-Options header not implemented
- X-Frame-Options (XFO) header not implemented
- X-XSS-Protection header not implemented
Da muss ich mich jetzt entsprechend zu den Techniken belesen und sehen, wie sie in Jekyll umsetzbar sind. Immerhin setzt meine Seite keine Cookies und HTTPS passt im Standardtest auch.