Praktische Anleitungen zur Sicherheitsimplementierung
Nutzer geben häufig sensible Daten auf Websites ein, wie Namen, Adressen, Passwörter und Bankdaten. Als Webentwickler ist es entscheidend, diese Informationen vor böswilligen Akteuren zu schützen, die eine Vielzahl von Exploits verwenden, um solche Informationen zu stehlen und für persönliche Gewinne zu nutzen. Der Fokus der Web-Sicherheit liegt darauf, Ihnen zu helfen, Ihre Website gegen diese Exploits zu schützen und die sensiblen Daten Ihrer Nutzer abzusichern.
Diese Seite listet Leitfäden auf, die einige bewährte Praktiken für die Implementierung von Sicherheitsfunktionen auf Websites zusammenfassen. Während diese Leitfäden nicht alle möglichen Sicherheitsszenarien abdecken und keine vollständige Sicherheit Ihrer Website garantieren können, wird durch das Befolgen der Informationen und der besten Praktiken in diesen Leitfäden Ihre Website erheblich sicherer.
Grundlegende Sicherheitskonzepte zu HTTP
Die Leitfäden in diesem Abschnitt fassen bewährte Praktiken zusammen, um HTTP-Header korrekt zu implementieren, um Sicherheitsprobleme zu mindern, und stehen in direktem Zusammenhang mit dem Tool HTTP Observatory.
Observatory führt Sicherheitsüberprüfungen auf einer Website durch und liefert eine Bewertung und Punktzahl zusammen mit Empfehlungen zur Behebung der gefundenen Sicherheitsprobleme. Diese Leitfäden erklären, wie man die durch die Tests des HTTP Observatory aufgezeigten Probleme löst: Das Tool verweist auf den relevanten Leitfaden für jedes Problem und hilft Ihnen, eine effektive Lösung zu finden. Interessanterweise verwenden Mozillas interne Entwicklerteams diese Leitlinien bei der Implementierung von Websites, um sicherzustellen, dass bewährte Sicherheitspraktiken angewendet werden.
Die Leitfäden in der untenstehenden Tabelle sind in der Reihenfolge aufgelistet, die wir für die Implementierung der darin beschriebenen Sicherheitsfunktionen empfehlen. Diese Reihenfolge basiert auf einer Kombination aus der Sicherheitswirkung jeder Funktion und der Leichtigkeit ihrer Implementierung sowohl aus operativer als auch aus entwicklungstechnischer Perspektive. Die Tabelle bietet Informationen über die Auswirkungen jeder Funktion, die Schwierigkeit der Implementierung, ob sie erforderlich ist und eine kurze Beschreibung.
Leitfaden | Auswirkung | Schwierigkeit | Erforderlich | Beschreibung |
---|---|---|---|---|
TLS-Konfiguration | Mittel | Mittel | Ja | Verwenden Sie die sicherste verfügbare Transport Layer Security (TLS)-Konfiguration für Ihre Benutzerbasis. |
TLS: Ressourcenladen | Maximum | Niedrig | Ja | Laden Sie sowohl passive als auch aktive Ressourcen über HTTPS. |
TLS: HTTP-Umleitung | Maximum | Niedrig | Ja | Websites müssen auf HTTPS umleiten; API-Endpunkte sollten HTTP vollständig deaktivieren. |
TLS: HSTS-Implementierung | Hoch | Niedrig | Ja | Benachrichtigen Sie Benutzeragenten, sich nur über HTTPS mit Seiten zu verbinden, auch wenn das ursprünglich gewählte Schema HTTP war, indem Sie HTTP Strict Transport Security (HSTS) verwenden. |
Schutz vor Clickjacking | Hoch | Niedrig | Ja | Kontrollieren Sie, wie Ihre Seite innerhalb eines iframe gerahmt werden darf, um Clickjacking zu verhindern. |
Schutz vor CSRF | Hoch | Unbekannt | Variiert | Schützen Sie sich vor Cross-site request forgery (CSRF) mit SameSite Cookies und Anti-CSRF-Token. |
Sichere Cookie-Konfiguration | Hoch | Mittel | Ja | Setzen Sie alle Cookies so restriktiv wie möglich. |
CORP-Implementierung | Hoch | Mittel | Ja | Schützen Sie sich vor spekulativen Seitenkanalangriffen unter Verwendung der Cross-Origin Resource Policy (CORP). |
MIME-Typ-Verifikation | Niedrig | Niedrig | Nein | Stellen Sie sicher, dass alle Ihre Websites die richtigen MIME-Typen für alle Ressourcen setzen. |
CSP-Implementierung | Hoch | Hoch | Ja | Bieten Sie eine fein abgestimmte Kontrolle über den Code, der auf einer Website geladen werden kann und was er mit einer Content Security Policy (CSP) tun darf, um Schwachstellen durch Cross-site Scripting (XSS) zu mindern. |
CORS-Konfiguration | Hoch | Niedrig | Ja | Definieren Sie die nicht gleichen Ursprünge, die Zugriff auf den Inhalt von Seiten haben dürfen und Ressourcen von ihnen geladen werden dürfen, indem Sie Cross-Origin Resource Sharing (CORS) verwenden. |
Referrer-Policy-Konfiguration | Niedrig | Niedrig | Ja | Verbessern Sie den Datenschutz für Benutzer und verhindern Sie die Weitergabe interner URLs über den Referer -Header. |
robots.txt-Konfiguration | Niedrig | Niedrig | Nein | Weisen Sie Roboter (wie Suchmaschinenindexer) an, wie sie sich verhalten sollen, indem Sie ihnen mitteilen, bestimmte Pfade auf der Website nicht zu durchlaufen. |
SRI-Implementierung | Niedrig | Niedrig | Nein | Überprüfen Sie, dass abgerufene Ressourcen (zum Beispiel von einem CDN) ohne unerwartete Manipulationen geliefert werden, indem Sie Subresource Integrity (SRI) verwenden. |
Sicherheit von Benutzerinformationen
- Anleitung zum Deaktivieren der Formular-Autovervollständigung
-
Formularfelder unterstützen die Autovervollständigung; das bedeutet, ihre Werte können gespeichert und automatisch ausgefüllt werden, wenn ein Benutzer Ihre Website das nächste Mal besucht. Bei bestimmten Datentypen möchten Sie diese Funktion möglicherweise deaktivieren; dieser Artikel erklärt, wie.