Mozilla bringt kostenlosen Sicherheitstest für Websites
Einen ursprünglich zum internen Gebrauch entwickelten Security-Check für Websites haben die Firefox-Macher jetzt für die Öffentlichkeit freigegeben.
(Bild: dpa, Andrea Warnecke)
- Jürgen Seeger
Unter dem Namen Observatory bietet die Mozilla Foundation einen Sicherheits-Check für beliebige Websites an. Nach Eingabe der Webadresse und einiger Optionen erhält man innerhalb weniger Sekunden die sicherheitsrelevanten Konfigurationsdaten der Site.
Zu den auf korrekte Implementierung untersuchten Verfahren zählen nahezu alle, die als Antwort auf bekannt gewordene Sicherheitsprobleme implementiert wurden, von Content Security Policy über Cross-origin Resource Sharing und HTTP Public Key Pinning bis zu HTTP Strict Transport Security und X-XSS-Protection. Nicht geprüft wird auf Probleme im Code wie SQL-Injection-Anfälligkeit.
In den Service fließen nach eigener Aussage die Erfahrungen ein, die man bei der Mozilla Foundation bei der Untersuchung von Millionen von Websites gemacht hat. Dabei seien oft erschreckende Lücken aufgedeckt worden – nicht nur bei fremden Sites, sondern auch im eigenen Haus, etwa bei addons.mozilla.org.
Auch als Administratoren-Tool verfügbar
Neben den detaillierten Ergebnissen liefert der Scan auch ein für informationstechnische Laien verständliches Rating. Als Scan-Summary ist ein Label zwischen A+ und F zu sehen, A+ ist bestens, schlechter als F geht es nicht. Der für den Service genutzte Code ist frei verfügbar, für Administratoren stehen Kommandozeilen-Tools für periodische automatisierte Tests zur Verfügung.
Diese Art von Website-Check ist nicht neu, Quality SSL Labs, Scan My Server und andere bieten solch einen Sicherheitstest seit geraumer Zeit an. Der Dienst von Mozilla hebt sich aber durch seine umfangreichen Ergebnisse hervor. Zudem könnten die intimen Kenntnisse der Browser-Programmierung die Macher in die Lage versetzen, ihren Dienst sehr schnell zu aktualisieren. (js)
