Zuletzt angesehen:
Seite anzeigen

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Ãœberarbeitung
Letzte Ãœberarbeitung Beide Seiten der Revision
it-sec:websec [2016/08/31 14:44]
pilawa [Konfigurationsvalidierung und Verwendung von Testwerkzeugen] 		it-sec:websec [2016/08/31 14:45]
pilawa [Aspekte bei Konfiguration und Betrieb von Webservern]
Zeile 33: Zeile 33:
 konkrete Konfigurationshinweise und ausführliche Erläuterungen. konkrete Konfigurationshinweise und ausführliche Erläuterungen.
  
-===== Aspekte bei Konfiguration und Betrieb ​von Webservern ​=====+===== Verwendung ​von HSTS fördern ​=====
  
 Generell wird empfohlen auf eine vollständige Bereitstellung von TLS-gesicherten Inhalten hinzuwirken. Wenn möglich soll darauf verzichtet werden, Webseiten mit gemischten Inhalten anzubieten, da dies die Gefahr birgt dass bei Anpassungen im Bereich der Webseitenentwicklung unverschlüsselte Ãœbertragungskanäle entstehen, die einem Angreifer wertvolle Hinweise wie z.B. den Zugriff auf Sitzungsschlüsseln (session keys) oder Zugriff auf Cookies bieten. ​ Generell wird empfohlen auf eine vollständige Bereitstellung von TLS-gesicherten Inhalten hinzuwirken. Wenn möglich soll darauf verzichtet werden, Webseiten mit gemischten Inhalten anzubieten, da dies die Gefahr birgt dass bei Anpassungen im Bereich der Webseitenentwicklung unverschlüsselte Ãœbertragungskanäle entstehen, die einem Angreifer wertvolle Hinweise wie z.B. den Zugriff auf Sitzungsschlüsseln (session keys) oder Zugriff auf Cookies bieten. ​
Zeile 39: Zeile 39:
 Der Einsatz des Protokolls HTTP Strict Transport Security (HSTS) wird in diesem Zusammenhang empfohlen, da HSTS es erschwert bei Angriffen oder serverseitigen Konfigurationsproblemen von einer gesicherten auf eine ungesicherte Seite umzuleiten. Der Einsatz des Protokolls HTTP Strict Transport Security (HSTS) wird in diesem Zusammenhang empfohlen, da HSTS es erschwert bei Angriffen oder serverseitigen Konfigurationsproblemen von einer gesicherten auf eine ungesicherte Seite umzuleiten.
  
-In diesem Zusammenhang sollte überprüft werden, ob Hinweise von [[https://​securityheaders.io]] zur Verwendung bzw. Setzen von sicherheitsbezogenen HTTP-Headern umgesetzt werden können. ​ 
  
 ===== Verwendung von Zertifikaten aus der DFN-PKI ===== ===== Verwendung von Zertifikaten aus der DFN-PKI =====
it-sec/websec.txt · Zuletzt geändert: 2016/08/31 14:51 von pilawa
Seite anzeigenÄltere Versionen
Medien-ManagerNach oben
Gauß-IT-Zentrum