Eine Webseite richtig absichern

Leider reicht es nicht, eine Webseite mit HTTPS ansprechen zu können, um sie sicher(er) zu machen. Es gibt immer noch verschiedene Schwachstellen, die von Böswilligen ausgenutzt werden können. Doch als Laien-Webmaster ist es fast unmöglich, die ganze Informationen im Kopf zu haben, um die eigene Seite abzusichern. Außerdem veraltet der Wissensstand in der IT Branche recht schnell. Es gibt aber Profis, die es einem leichter machen, Schwachstellen zu finden und zu beseitigen. Drei davon möchte ich hier vorstellen.

Mozilla Observatory

Es vor Kurzem hat Mozilla seinen Observatory Dienst gestartet. (https://observatory.mozilla.org) Wie ich von anderen Webseite erfahren habe, sind die anderen Dienste weitaus älter, aber nicht besser was die Detailtiefe angeht. Also habe ich meine Webseite mal scannen lassen.

Wichtig finde ich, dass man die beiden ersten Haken setzt. Man möchte ja nicht in den öffentlichen Ergebnissen auftauchen, wenn man verwundbar ist. Und den zweiten Haken setzt man, wenn man zum zweiten oder x-ten Mal die Seite scannen lässt. Danach einfach auf “Scan Me” drücken. Der Test geht recht schnell und dauerte bei mir nur wenige Sekunden. Dafür sind die Ergebnisse aber auch recht ausführlich.

Mein erstes Ergebnis war niederschmetternd: Eine Note “F” (was einer glatten Schulnote 6 entspricht)!


Ob nun die Note gerechtfertigt ist oder nicht, kann ich als Security Laie nicht bewerten. Deswegen hier mal die “Mängelliste”:

Trotz der Zeile “Explanation” sind manche Fachbegriffe mir unbekannt oder ich weiß nichts damit anzufangen. Nun hieß es für mich, meinen Freund und Helfer (Google) zu bemühen und Antworten zu suchen. Nach und nach kommt man dann drauf, was man machen kann und sollte, um eine Verbesserung zu bekommen. Unterm Strich waren es bei mir zwei Plugins, die ich installiert habe und diese haben mit ein paar Einstellungen die Seite auf ein neues Rating gebracht:

Das sieht doch schon mal viel besser aus! Ich habe sogar noch 5 extra Punkte bekommen, weil ich CSP recht konsequent umgesetzt habe. Aber das hat auch am längsten gedauert. Teilweise wurde keine Bilder mehr geladen und oder kein Script-Code mehr ausgeführt. Damit war die Seite nicht benutzbar.

 

Qualys SSL Server Test

Der SSL Server Test von Qualys (http://www.ssllabs.com/ssltest) geht einen anderen Ansatz. Hier wird die Verschlüsselung geprüft, ob sie sicher oder anfällig ist.
Die Seite ist schlicht gehalten. Man sollte auch hier nicht vergessen, dass man den Haken unter dem Adressfeld setzt – besonders dann nicht, wenn man nicht sicher ist, ob mal gut abschneidet.
Das Ergebnis hier ist erwartungsgemäß gut. Der Webserver von 1&1, auf dem diese Seite liegt, ist mit guter Verschlüsselung (TLS, kein SSL) abgesichert.

Interessant ist dieser Test besonders für Betreiber von Webservern. Und manchmal ist es gar nicht auf den ersten Blick ersichtlich, dass man einen Webserver betreibt. Hat man z.B. einen Loadbalancer vor einem System stehen und dieser übernimmt die Entschlüsselung der Verbindung, dann ist es gut den Qualys SSL Test da mal drüber laufen zu lassen. In den Standard-Einstellungen sind da einige Hersteller “sehr abwärtskompatibel” – oder anders ausgedrückt: unsicher.

 

Scan My Server (von Beyond Security)

Der letzte Scanner, den ich genutzt habe, war auf https://www.scanmyserver.com zu finden. Einfach auf der Startseite die URL eingeben:


Im Unterschied zu anderen Scannern muss man erst eine Voraussetzung erfüllen, um den Test durchführen zu können. In diesem Fall ist es ein Bild auf der Webseite zu hinterlegen und sich einen Benutzerkonto zu erstellen. Dann geht der Scan los und braucht viele Minuten – bei mir waren es 22 Minuten. Das Ergebnis bekommt man dann per eMail zugeschickt. Aber in dem Mail ist das Ergebnis nicht drin. Über einen Link kommt man auf eine Webseite. Diese beinhaltet auch Flash Grafiken, was ich persönlich nicht gut finde. (Ich versuche so gut wie nie Flash zu nutzen.)

Das Ergebnis des Test hat mich überrascht, aber in die andere Richtung, als der Scan von Mozilla mich überrascht hatte: Ich habe hier gleich ein sehr gutes Ergebnis (A+) eingefahren.


Die einzigen Schwachstellen, die gefunden wurden, werden als “niedrig” eingestuft und sind auch Sachen, auf die nur der Betreiber des Webservers Einfluss hat. Die anderen Schwachstellen, die Mozilla noch mit dem Abzug von vielen Punkten bestraft hatte, wurden hier gar nicht mehr als Problem gefunden. (Ich habe alle drei Tests natürlich zum gleichen Zeitpunkt gemacht.) Wenn ich jetzt nur den “Scan My Server” Test gemacht hätte, wäre ich davon ausgegangen, dass alles in Ordnung ist. Möglicherweise ist der “Scan My Server” Test auch mehr etwas für jemand, der den ganzen Server betreibt und nicht nur für einen User, der einen Teil des Webservers braucht.

 

Fazit

Es ist gar nicht so schwer, seine Webseite abzusichern. Wenn man schon auf HTTPS umgestellt hat, hat man schon mal einen großen Schritt in Richtung “professionelle Webseite” gemacht. Aber was dann kommt, braucht das Spezialwissen von Firmen, die sich ausschließlich damit beschäftigen.

Von den drei Scannern ist Observatory von Mozilla mein Favorit. Der Scan hat mir am meisten gebracht, was Wissen und Sicherheit angeht.
Wenn man seine Verschlüsselung überprüfen möchte, kommt man zur Zeit nicht an Qualys SSL Test vorbei. Das sollten besonders auch die Betreiber von Loadbalancern wissen, die SSL Offloading betreiben.
Bei “Scan My Server” bleibt ein bitterer Nachgeschmack. Es wurden weniger Lücken gefunden, obwohl die angebliche Zielgruppe genau Personen wie ich sein sollten. Zusätzlich habe ich mal wieder meine eMail-Adresse irgendwo eingegeben und erwarte nun von “Beyond Security” mit unerwünschten Mails versorgt zu werden. (Es lebe die Wegwerf-Adresse!)