Check website Security Online

Online-Scanner, mit denen Websites oder E-Mail-Server auf Schwachstellen und Konfigurationsdefizite überprüft werden können, geben erste Hinweise. Es gibt aber auch Tools, die überprüfen, wie datenschutzorientiert eine Website ist oder welche Verschlüsselungslösungen ein Webbrowser bereitstellt. In diesem Artikel möchte ich Ihnen verschiedene hilfreiche Hilfen zur Verbesserung Ihrer eigenen Website oder zum Testen gegen andere Website-Betreiber anführen.

Wenn Sie andere Online-Scanner kennen, die zur Erhöhung der Datensicherheit und zum Schutz Ihrer Daten dienen können, hinterlassen Sie mir eine kurze Nachricht. Das Observatorium prüft z.B., ob der Inhalt über TLS (Transport Layer Security) geliefert wird und ob HTTP Public Key Pinning eingerichtet ist. Andere Testverfahren überprüfen die Einstellung der Content Security Policy (CSP) und die Integration von JavaScripts, die über Seiten von Drittanbietern integriert werden - der so genannte Sub-Resource Integrity Check.

Das Observatorium gibt die Noten von A+ bis F. Einfach gesagt, macht es eine Simulation, was im Hintergund beim Aufrufen einer Internetseite im Webbrowser geschieht. die in eine Website aus externen Quellen integriert sind. Wie datenschutzorientiert eine Website ist, erfahren Sie besonders bei uns. Inwiefern ist Ihre Website datenschutzrechtlich geschützt?

Das SSL-Labor ist sicherlich einer der am meisten verwendeten Online-Scanner, um die TLS-Konfiguration einer Website auf Sicherheitseinstellungen zu überprüfen. Unter anderem kontrolliert der Scan die unterstützen Cipher Suites, simuliert einen Handschlag und sucht nach (aktuellen) Gefahren wie Ticketbleed, Heartbleed oder BEAST. Die SSL Labs vergeben nach US-amerikanischem Muster die Schulnote von A1 bis F. Derzeit ist Hardenize noch im Alpha-Stadium - macht aber schon einen reifen Eindruck. 4.

Der Webdienst wird von Ivan Risti?, dem Anbieter von SSL Labs, angeboten. Die Online-Tool Securityheader. Die Überprüfung von Sicherheitsheadern wie Strict-Transport-Security (HSTS), X-Frame-Options oder Content Security Policy (CSP) ist begrenzt auf die Bereiche Die meisten von uns sind mit dem US-amerikanischen Modell der Vergabe von Noten von A+ bis F. SSL Labs für die Überprüfung der unterstützten Verschlüsselungssuiten oder -kryptographieverfahren einer Website vertraut.

Wenn Sie nicht nur Webserver, sondern auch die unterstützten Verschlüsselungssuiten von E-Mail- (SMTP), XMPP- und SSH-Server überprüfen wollen, können Sie mit Hilfe von KryptCheck. Das Ratingsystem von KryptCheck basiert ebenfalls auf dem Modell von SSL Labs - es ordnet also die Schulnote von A+ bis F nach dem US-Amerikanischen Modell zu und es ist sehr spannend zu eruieren, welche Ciphersuites Ihr eigener Webbrowser hat.

Beim Aushandeln einer TLS-Verbindung schickt der Kunde alle von ihm unterstützten Cipher Suites an den Nameserver. Diese vergleicht die erhaltene Mailingliste mit den von ihr unterstützten Cipher Suites und sucht dann in der Regel die "beste" aus. Selbst wenn ein Rechner bereits die neuesten Cipher Suites (TLS 1.2 oder höher) beherrscht, heißt das nicht unbedingt, dass auch eine Cipher Suite verwendet wird, die als "sicher" eingestuft wird.

Um eine TLS-Verbindung mit aktuellen Cipher Suites aufzubauen, werden immer zwei benötigt: Unter " SSL Cipher Suite Details Ihres Browsers " der Universität Hannover können Sie überprüfen, welche Cipher Suites Ihr Webbrowser bereitstellt. Ich habe in einem früheren Artikel auch gezeigt, wie man die Cipher Suites im Webbrowser einbinden kann.

Der PrivacyScore stellt eine Serie von Sicherheitsüberprüfungen zur Verfügung, die nicht nur die Website, sondern auch den mit einer Domain verbundenen E-Mail-Server überprüfen. Dabei wird unter anderem überprüft, ob der Einsatz von TLS (Transport Layer Security) richtig ist, d.h. ob passende Protokoll-Versionen, kryptografische Prozeduren und HTTP-Header wie HTTP strikte Transportsicherheit (HSTS) zum Einsatz kommen. Das Online-Angebot überprüft nicht nur die Datensicherheit, sondern auch, wie gut eine Website für den Datenschutz ist.

Der PrivacyScore kennt Analyse- und Werbedienstleistungen, die eingebetteten Resourcen von Websites Dritter und die Nutzung von Content Distribution Networks (CDN), die auch eine Bedrohung für die Privatsphäre und den Datenschutz sein kann. Ein sicherer und datenschutzfreundlicher Umgang mit einer Website ist komplex, in der Regel mit Zusatzkosten behaftet oder nicht mit dem Business-Modell eines Standortbetreibers kompatibel.

Mit den dargestellten Werkzeugen können Website-Betreiber die Datensicherheit und die Privatsphäre der Website-Besucher erhöhen. Allerdings schafft sie auch Klarheit, da die User in die Lage versetzt werden, das Online-Angebot zu testen. Aber bevor Sie Ihre eigene Website oder andere Websites besuchen, möchte ich Sie vorab warnen:

Gerade weil eine Website zum Beispiel auf die Nutzung der Contentsecurity Policy (CSP) verzichten muss, ist die Website nicht unbedingt "unsicher". Damit der CSP-Header wirklich sinnvolle integriert werden kann (damit er wirklich einen zusätzlichen Sicherheitsvorteil bietet), müssen Sie in der Regel die Strukturen einer Website sehr genau umstellen.

Mozilla-Entwickler April King schrieb in einem Blog-Post über Observatory: Das Observatorium führt eine Vielzahl von Kontrollen an einem Dutzend verschiedener Versuche durch. Sie können nicht von vielen von ihnen gehört haben, und das ist, weil ihre Dokumentation über Tausende von Artikeln, Hunderte von Webseiten und Dutzende von Spezifikationen verteilt ist. Tatsächlich, obwohl einige dieser Standards alt genug sind, um Kinder zu bekommen (siehe Anhang unten), reicht ihre Nutzungsrate unter den Millionen der beliebtesten Internetseiten von 30% für HTTPS bis zu einem deprimierenden und niedrigen Niveau.

005 % für Content Security Policy. Viele von Ihnen werden es wahrscheinlich bis zum Schluss in diesem Artikel gebracht haben, sind aber bereits damit befasst, Ihre oder andere Websites zu überprüfen.