Praktische Sicherheitsimplementierungs-Leitfäden
Benutzer geben häufig sensible Daten auf Websites ein, wie Namen, Adressen, Passwörter und Bankdaten. Als Webentwickler ist es entscheidend, diese Informationen vor böswilligen Akteuren zu schützen, die eine Vielzahl von Exploits nutzen, um solche Informationen zu stehlen und für persönliche Vorteile zu missbrauchen. Der Fokus von Web-Sicherheit liegt darauf, Ihnen zu helfen, Ihre Website gegen diese Exploits zu schützen und die sensiblen Daten Ihrer Benutzer zu sichern.
Diese Seite listet Leitfäden auf, die einige bewährte Praktiken für die Implementierung von Sicherheitsfunktionen auf Websites zusammenfassen. Auch wenn diese Leitfäden nicht alle möglichen Sicherheitsszenarien abdecken und keine vollständige Sicherheit Ihrer Website garantieren können, wird das Befolgen der Informationen und besten Praktiken in diesen Leitfäden Ihre Websites erheblich sicherer machen.
Grundlagen der HTTP-Sicherheit
Die Leitfäden in diesem Abschnitt fassen bewährte Praktiken für die korrekte Implementierung von HTTP-Headern zur Abschwächung von Sicherheitsproblemen zusammen und stehen in direktem Zusammenhang mit dem HTTP Observatory Tool.
Observatory führt Sicherheitsüberprüfungen auf einer Website durch und liefert eine Bewertung und Punktzahl zusammen mit Empfehlungen zur Behebung der festgestellten Sicherheitsprobleme. Diese Leitfäden erklären, wie man Probleme löst, die durch die HTTP Observatory-Tests aufgezeigt werden: Das Tool verlinkt auf den relevanten Leitfaden für jedes Problem, was Ihnen hilft, eine effektive Lösung zu finden. Interessanterweise nutzen Mozillas interne Entwicklerteams diese Hinweise, um bei der Implementierung von Websites sicherzustellen, dass die besten Sicherheitspraktiken angewendet werden.
Die Leitfäden in der untenstehenden Tabelle sind in der Reihenfolge aufgeführt, in der wir die Implementierung der beschriebenen Sicherheitsfunktionen empfehlen. Diese Reihenfolge basiert auf einer Kombination des Sicherheitseinflusses jeder Funktion und der Leichtigkeit ihrer Implementierung sowohl aus operativer als auch aus entwicklungsbezogener Perspektive. Die Tabelle bietet Informationen über den Einfluss jeder Funktion, die Schwierigkeit der Implementierung, ob sie erforderlich ist und eine kurze Beschreibung.
| Leitfaden | Einfluss | Schwierigkeit | Erforderlich | Beschreibung |
|---|---|---|---|---|
| TLS-Konfiguration | Medium | Medium | Ja | Verwenden Sie die sicherste verfügbare Transport Layer Security (TLS)-Konfiguration für Ihre Benutzerbasis. |
| TLS: Ressourcen laden | Maximum | Niedrig | Ja | Laden Sie sowohl passive als auch aktive Ressourcen über HTTPS. |
| TLS: HTTP-Umleitung | Maximum | Niedrig | Ja | Websites müssen zu HTTPS umleiten; API-Endpunkte sollten HTTP vollständig deaktivieren. |
| TLS: HSTS Implementierung | Hoch | Niedrig | Ja | Benutzeragenten informieren, dass sie sich nur über HTTPS mit Websites verbinden sollen, auch wenn das ursprünglich gewählte Schema HTTP war, indem HTTP Strict Transport Security (HSTS) verwendet wird. |
| Clickjacking-Schutz | Hoch | Niedrig | Ja | Steuern, wie Ihre Seite innerhalb eines <iframe> gerahmt werden darf, um Clickjacking zu verhindern. |
| CSRF-Schutz | Hoch | Unbekannt | Variiert | Schutz gegen Cross-site request forgery (CSRF) mit SameSite-Cookies und Anti-CSRF-Tokens. |
| Sichere Cookie-Konfiguration | Hoch | Medium | Ja | Setzen Sie alle Cookies so restriktiv wie möglich. |
| CORP Implementierung | Hoch | Medium | Ja | Schutz gegen spekulative Seitenkanalangriffe durch Verwendung der Cross-Origin Resource Policy (CORP). |
| MIME-Typ-Verifizierung | Low | Niedrig | Nein | Überprüfen Sie, ob alle Ihre Websites die richtigen MIME-Typen für alle Ressourcen setzen. |
| CSP Implementierung | Hoch | Hoch | Ja | Bieten Sie eine feinkörnige Kontrolle darüber, welcher Code auf einer Website geladen werden kann und was er mit einer Content Security Policy (CSP) tun darf, um Cross-Site-Scripting (XSS) Schwachstellen abzuschwächen. |
| CORS-Konfiguration | Hoch | Niedrig | Ja | Definieren Sie die Nicht-Same-Origin, die Zugriff auf die Inhalte von Seiten haben dürfen und von denen Ressourcen geladen werden können, indem Cross-Origin Resource Sharing (CORS) verwendet wird. |
| Referrer-Policy-Konfiguration | Low | Niedrig | Ja | Verbessern Sie die Privatsphäre der Benutzer und verhindern Sie das Lecken interner URLs über den Referer-Header. |
| robots.txt-Konfiguration | Low | Niedrig | Nein | Weisen Sie Roboter (wie Suchmaschinenindexer) an, bestimmte Pfade auf der Website nicht zu durchsuchen. |
| SRI Implementierung | Low | Niedrig | Nein | Überprüfen Sie, dass abgerufene Ressourcen (beispielsweise von einem CDN) ohne unerwartete Manipulation geliefert werden, indem Subresource Integrity (SRI) verwendet wird. |
Sicherheit der Benutzerinformationen
- Anleitung zum Deaktivieren der Formular-Autovervollständigung
-
Formularfelder unterstützen die Autovervollständigung; das heißt, ihre Werte können gespeichert und automatisch ausgefüllt werden, wenn ein Benutzer Ihre Seite das nächste Mal besucht. Für bestimmte Arten von Daten möchten Sie möglicherweise diese Funktion deaktivieren; dieser Artikel erklärt, wie.