Praktische Sicherheitsleitfäden zur Implementierung
Benutzer geben häufig sensible Daten auf Websites ein, wie Namen, Adressen, Passwörter und Bankdaten. Als Webentwickler ist es entscheidend, diese Informationen vor böswilligen Akteuren zu schützen, die eine Vielzahl von Exploits verwenden, um solche Informationen zu stehlen und sie für persönliche Zwecke zu nutzen. Der Schwerpunkt der Websicherheit liegt darin, Ihnen zu helfen, Ihre Website vor diesen Exploits zu schützen und die sensiblen Daten Ihrer Benutzer zu sichern.
Diese Seite listet Leitfäden auf, die bewährte Methoden zur Implementierung von Sicherheitsfunktionen auf Websites detailliert beschreiben. Obwohl diese Leitfäden nicht alle möglichen Sicherheitsszenarien abdecken und die vollständige Sicherheit Ihrer Website nicht garantieren können, wird durch die Beachtung der Informationen und bewährten Methoden in diesen Leitfäden Ihre Website erheblich sicherer.
Grundlagen der Inhaltsicherheit
Die meisten dieser Leitfäden stehen in direktem Zusammenhang mit dem Werkzeug HTTP Observatory. Observatory führt Sicherheitsprüfungen auf einer Website durch und liefert eine Bewertung und Punktzahl zusammen mit Empfehlungen zur Behebung der gefundenen Sicherheitsprobleme. Diese Leitfäden erklären, wie man Probleme löst, die durch die HTTP Observatory-Tests aufgedeckt werden: Das Werkzeug verlinkt auf den jeweiligen Leitfaden für jedes Problem und hilft Ihnen bei der effektiven Lösung. Interessanterweise verwenden Mozillas interne Entwicklerteams diese Anleitungen bei der Implementierung von Websites, um sicherzustellen, dass bewährte Sicherheitspraktiken angewendet werden.
Die Leitfäden in der folgenden Tabelle sind in der Reihenfolge aufgelistet, in der wir empfehlen, die von ihnen beschriebenen Sicherheitsfunktionen zu implementieren. Diese Reihenfolge basiert auf einer Kombination aus dem Einfluss jeder Funktion auf die Sicherheit und der Einfachheit ihrer Implementierung sowohl aus operativer als auch aus entwicklungsbezogener Perspektive. Die Tabelle bietet Informationen über die Auswirkungen jeder Funktion, die Schwierigkeit der Implementierung, ob sie erforderlich ist, und eine kurze Beschreibung.
| Leitfaden | Einfluss | Schwierigkeit | Erforderlich | Beschreibung |
|---|---|---|---|---|
| TLS-Konfiguration | Mittel | Mittel | Ja | Verwenden Sie die sicherste verfügbare Transport Layer Security (TLS)-Konfiguration für Ihre Benutzerbasis. |
| TLS: Ressourcenladen | Maximal | Niedrig | Ja | Laden Sie sowohl passive als auch aktive Ressourcen über HTTPS. |
| TLS: HTTP-Weiterleitung | Maximal | Niedrig | Ja | Websites müssen auf HTTPS umleiten; API-Endpunkte sollten HTTP vollständig deaktivieren. |
| TLS: HSTS-Implementierung | Hoch | Niedrig | Ja | Benachrichtigen Sie Benutzeragenten, sich nur über HTTPS mit Websites zu verbinden, auch wenn das ursprünglich gewählte Schema HTTP war, durch die Verwendung von HTTP Strict Transport Security (HSTS). |
| Clickjacking-Prävention | Hoch | Niedrig | Ja | Kontrollieren Sie, wie Ihre Website innerhalb eines <iframe> gerahmt werden darf, um Clickjacking zu verhindern. |
| CSRF-Prävention | Hoch | Unbekannt | Variiert | Schützen Sie sich vor Cross-site request forgery (CSRF) durch die Verwendung von SameSite Cookies und Anti-CSRF-Tokens. |
| Sichere Cookie-Konfiguration | Hoch | Mittel | Ja | Setzen Sie alle Cookies so restriktiv wie möglich. |
| CORP-Implementierung | Hoch | Mittel | Ja | Schützen Sie sich vor spekulativen Seitenkanalangriffen durch Verwendung der Cross-Origin Resource Policy (CORP). |
| MIME-Typ-Überprüfung | Niedrig | Niedrig | Nein | Überprüfen Sie, dass alle Ihre Websites die richtigen MIME-Typen für alle Ressourcen setzen. |
| CSP-Implementierung | Hoch | Hoch | Ja | Bieten Sie eine fein abgestimmte Steuerung, von wo aus Website-Ressourcen mit der Content Security Policy (CSP) geladen werden können. |
| CORS-Konfiguration | Hoch | Niedrig | Ja | Definieren Sie die Nicht-Same-Origin-Quellen, die Zugriff auf den Inhalt von Seiten erhalten und Ressourcen von diesen geladen werden dürfen, indem Sie das Cross-Origin Resource Sharing (CORS) verwenden. |
| Referrer-Policy-Konfiguration | Niedrig | Niedrig | Ja | Verbessern Sie die Privatsphäre der Benutzer und verhindern Sie das Auslaufen interner URLs über den Referer-Header. |
| robots.txt-Konfiguration | Niedrig | Niedrig | Nein | Weisen Sie Roboter (wie Suchmaschinenindexer) an, nicht bestimmte Pfade auf der Website zu crawlen. |
| SRI-Implementierung | Niedrig | Niedrig | Nein | Stellen Sie sicher, dass abgerufene Ressourcen (zum Beispiel von einem CDN) ohne unerwartete Manipulation geliefert werden, indem Sie Subresource Integrity (SRI) verwenden. |
Sicherheit der Benutzerinformationen
- Anleitung zum Ausschalten der Formular-Autovervollständigung
-
Formularfelder unterstützen die Autovervollständigung; das heißt, ihre Werte können gespeichert und beim nächsten Besuch automatisch ausgefüllt werden. Für bestimmte Arten von Daten möchten Sie möglicherweise diese Funktion deaktivieren; dieser Artikel erklärt, wie.