Observatory: Gratis Sicherheitstest für Websites von Mozilla

Observatory von Mozilla

Eigentlich war Observatory erst für den internen Gebrauch gedacht, doch nun stellt die Mozilla Foundation das Tool für alle zur freien Verfügung. Damit lassen sich x-beliebige Webseiten auf ihre Sicherheit hin testen. Das Ganze bietet Mozilla als eigenen Webdienst und den Code auf GitHub zur freien Verwendung auf dem eigenen Server an. Der Webdienst dürfte für viele das einfache Mittel der Wahl sein — Webadresse eingeben, drei Optionen festlegen und nur wenige Sekunden später spuckt Observatory das Testergebnis aus. So lässt sich im Vorfeld festlegen, ob das Ergebnis öffentlich einsehbar sein soll, ein Rescan öfter als erst nach 24 Stunden möglich ist und Drittanbieter-Tests mit einbezogen werden sollen.

Observatory testet folgende Schutzmechanismen

  • Content Security Policy
  • Cookies
  • Cross-origin Resource Sharing
  • HTTP Public Key Pinning
  • HTTP Strict Transport Security
  • Redirection
  • Subresource Integrity
  • X-Content-Type-Options
  • X-Frame-Options
  • X-XSS-Protection

Bei Fehlern gibt es Punktabzüge. Wurde die Policy korrekt umgesetzt oder gibt es nichts zu beanstanden, verändert sich der Punktestand nicht. Zudem wirft das Tool einen Blick darauf, ob die Webseite ein aktives TLS-Zertifikat besitzt und welche Chiffrensammlungen auf dem Server erlaubt sind, darunter hoffentlich keine veralteten. Alle Punkte werden ausführlich erklärt, falls etwas unklar sein sollte. Abschließend bietet Mozilla auch seine Hilfe bei der richtigen TLS-Konfiguration an. Last but not least erhält man zusätzlich, wenn gewünscht, die Testergebnisse von den Drittanbieterdiensten HSTS Preload, SecurityHeaders.io und CryptCheck.

Insgesamt prüft Observatory eine Vielzahl der möglichen Sicherheitsvorkehrungen. Was fehlt, ist etwa die Webseite nach SQL-Injections abzuklopfen. Aber ansonsten sind laut Mozilla die Erfahrungen in das Tool eingeflossen, die man an Millionen von Webseiten sammeln konnte. Dabei wurden oftmals versteckte Lücken gefunden, sowohl bei fremden aber auch auf den eigenen Webseiten.

Ein Großteil der getesteten Webseiten mit Note F

Rund 90 Prozent aller mit Observatory getesteten Webseiten kassieren die Note F, was das schlechteste Ergebnis darstellt. Gerade mal 0,5 Prozent schaffen die Bestnote A+. Für mich sind diese Zahlen wenig erschreckend, kenne ich ähnliche Werte doch schon von SecurityHeaders.io. Wobei hier häufig die Noten E und F vergeben wurden. Möglicherweise sind dafür die Testkriterien und die jeweilige Gewichtungen verantwortlich.

Testgergebnisse von Observatory
Testgergebnisse von Observatory

Zudem sollte man bei solchen Sicherheitstests auch immer darauf schauen, was getestet wird und dabei beachten, dass nicht alles einfach so umsetzbar ist. Gerade bei der Realisierung einer funktionierenden Content Security Policy ist einiges an Wissen, Zeit und Testing nötig. Ansonsten kommt es zu Fehlern in der Seitendarstellung, weil mitunter Ressourcen nicht mehr geladen werden. Daher sollte man hier mit sehr viel Bedacht ans Werk gehen. Alles in allem ist Observatory aber ein wirklich brauchbarer Sicherheitstest, ähnlich wie SecurityHeaders.io von Scott Helme oder der SSL Server Test von Qualys SSL Labs.


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

0 Kommentare – Schreib mir deine Meinung!

Fülle bitte die nachstehenden Felder aus. Angaben mit einem Sternchen sind Pflichtangaben. Deine E-Mail-Adresse wird nicht veröffentlicht.