Hallo,
danke für die Antwort!
encbladexp schrieb:
The-Illusion schrieb:
+ The anti-clickjacking X-Frame-Options header is not present.
Da fehlt halt der X-Frame-Options Header, steht auch so da, was das ist muss der Webentwickler wissen 😉
Naja, ich hab mal darüber gelesen: Clockjacking, Anzeige im Frame. Sehe ich eher nicht als ein Problem für meine Mini-Privatseite. Da jackt sicher Keiner Clicks mit 😉
Daher muss ich noch mal nachfragen: Es ist keine Sicherheitslücke die einen Einbruch in den Server ermöglicht. Richtig?
+ The site uses SSL and the Strict-Transport-Security HTTP header is not defined.
Da ist HSTS gemeint, also das Clients ein Downgrade auf HTTP für Zeitraum X nach der ersten HTTPS Verbindung verweigern sollen.
Den Port 80 habe ich in der FritzBox nicht ge-forwarded und der Apache listened nicht an dem Port. Also auch kein Problem für mich. Oder?
+ Hostname 'hostname' does not match cetificate's CN 'hostname@email'
Da steht auch was gewollt ist, der CN (Common Name) vom Cert sollte der Hostname sein und nicht eine Mailadresse.
Ist aber eher unschön, als ein Sicherheitsrisiko. Oder?
+ The Content-Encoding header is set to "deflate" this may mean that the server is vulnerable to the BREACH attack.
BREACH Attack ist ein gutes Google Keyword, du sollst die Kompression bei HTTP(S) deaktivieren.
Naja, als Keyword nicht wirklich viele Ergebnisse - vor allem, wenn die Suche auf Deutsch eingestellt ist. Verstanden habe ich aber, dass es eher ein theoretisches Problem ist, wenn es die NSA mal auf mich abgesehen hat. Hat sie aber nicht. Für den Alltags-Hacker von Nebenan stellt das auch mit Komprimierung eine uneinnehmbare Hürde dar. Oder?
+ OSVDB-3233: /icons/README: Apache default file found.
Dein Webserver liefert Standarddateien aus, ist weniger kritisch.
Ja, warum auch? Da fühl ich mich auch gleich besser 😉
+ /munin/index.html: Munin reveals system information.
Da läuft ein Munin öffentlich, ohne Passwortschutz und das sollte halt nicht sein.
Das lässt und wird sich dann ändern. Danke.
Frage: Kann mir jemand schreiben, ob hier eklatante Sicherheitsrisiken bestehen und ob/wie ich diese beseitigen muss?
Das muss der Administrator (du?) aber eigentlich wissen oder zumindest Googlen können 😉
Ich bin - noch - eher Web-Schüler als Web-Master, aber Hilfe zur Selbsthilfe ist sicher eine gute Herangehensweise. Und google liefert nicht wirklich Antworten, sondern viel Geschwurbel drum herum und die Einschätzung liegt doch bei mir. Dazu fehlt mir noch die Expertise und deswegen frag ich ja hier.
mfg Stefan Betz
Danke!