Hilfe-Center

Sicherheitsrichtlinien für Browser

In diesem Abschnitt werden die verschiedenen Sicherheitsmechanismen, die als Richtlinie für Browser bestehen beleuchtet und die Verwendung in CONTAILOR erläutert. Es geht speziell um die HTTP-Header Direktiven.

HTTP Strict Transport Security (HSTS)

HSTS sorgt dafür, dass eine Auslieferung aller Ressourcen der Webseite über eine gesicherte Verbindung (HTTPS) erzwungen wird. Damit kann ein Angriff Dritter z.B. über nicht sichere HTTP-Weiterleitungen verhindert werden.

Content Security Policy (CSP)

Ziel ist es die CSP vollständig zu unterstützen. CONTAILOR-Instanzen sollen zudem nur das zulassen, was für die jeweilige Seite notwendig ist. Dazu gibt es dieverse Einstellungen, die der Webseitenersteller bei der Implementierung entsprechend anpassen muss.

X-Frame-Options

Ein X-Frame-Options HTTP Antwort-Header wird verwendet, um einem Browser mitzuteilen, ob eine Seite in einem <frame>, <iframe> oder <object> angezeigt werden darf. Websites können dieses nutzen, um Clickjacking-Angriffe zu verhindern.

X-Content-Type-Options

Ein X-Content-Type-Options HTTP Header eines Servers gibt an, dass der jeweils gesendete MIME Content-Type einer Datei nicht verändert werden kann. Das verhindert ein Ausspähen durch manipulierte MIME-Types oder in anderen Worten: Der Webmaster weiß, was sein Server genau macht.

XSS-Protection

Der HTTP X-XSS-Protection Antwort-Header ist ein Feature des Internet Explorers, Chrome und Safari, das ein Nachladen bei einer entdeckten Cross-Site Scripting (XSS) Attacke verhindert. Gleichwohl ist dieser Header huetzutage in modernen Browswern weniger wichtig.

Referrer Policy

Die Referer-Policy steuert welchen Seiten, die ausgehend von der eigenen aufgerufen werden, die eigene Adresse als "Absender" mitgegeben wird. Im Grunde wird einfach verhindert, dass die Zielseite ggf. zu viele Informationen aus der Quelle ziehen kann

Subresource Integrity (SRI)

Subresource Integrity (SRI) ist ein Sicherheitsmerkmal, mit dem Browser überprüfen können, ob Ressourcen, die sie abrufen (z.B. von einem CDN), ohne unerwartete Manipulationen geliefert werden. Es funktioniert, indem es Ihnen erlaubt, einen kryptographischen Hash bereitzustellen, mit dem eine geholte Ressource übereinstimmen muss.

Cookie-Sicherheit

Diese Cookie-Eigenschaft legt fest, das das Cookie nur übertragen wird wenn sie Seite per HTTPS aufgerufen wird, und die Daten somit verschlüsselt vom Browser an den Server übertragen werden. SameSite verhindert Angriffe nach dem "Cross-Site-Request-Forgery"-Prinzip und HttpOnly verhindert das Auslesen und Manipulieren der Cookies über Client-Skripte. 

Feature Policy

Dieser Header kann Browser Features, wie z. B. Positionsabfrage, Ton abspielen usw. steuern bzw. Verbieten. Gerade für eingebettete Seiten kann dieses Feature interessant sein und diese entsprechend limitieren.

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich.
Es ist ein technisches Problem aufgetreten. Bitte wenden Sie sich telefonisch oder per E-Mail an uns.