Mozilla Observatory Test

    *** Link veraltet ***

    Guter Test für moderne Sicherheitsprogrammierphilosophien für Webseiten.

    Nach einigen Anpassungen bin ich nun bei einem Projekt bei 100% (wobei über 100% möglich sind). Insbesondere die CSP sind ein beachtenswertes Feature. Teilweise streiten sich da Speedperformance (Above the Fold Rendering) mit optimaler Sicherheit, aber man kommt mit passenden Kompromissen derzeit noch auf 100% (und zugleich bei 100% bei Google Pagespeed). Key Pinning nutze ich noch nicht, wird auch noch kommen.

    Mach Dir nichts draus.... Ich komme mit meinen neuen Server auch nur auf 60von100, wobei das aber eher Zufall war. Was da aber nötig wäre, um höher zu kommen... Neee..... nicht möglich, denn die Features brauche ich....

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    "Insbesondere die CSP sind ein beachtenswertes Feature"
    Habe mich nun mal ein paar Tage zur Abwechslung mit befasst. Ja, interessant ist es, aber auch gefährlich! Hatte es doch glatt geschafft, meine ganzen "data:"-Bilder zu sperren, ohne es zu merken. Gut, merkte es dann einen Tag später. Aber ich muss schon sagen, CSP ist ganz schon aufwendig, kompliziert und vor allem fehleranfällig, wobei die Fehlerquelle extern ist....

    Mit Adsense, Maps, G+, Facebook und Piwik auf der Seite wird es ganz schön kompliziert, da alles freizugeben. Und ob das auch alles ist und nicht noch was fehlt, merkt man erst, wenn es zu spät ist. Und was passiert, wenn die externen Dienste mal die Domain ändern? Machte Google ja schon öfters, dass da was, was nachgeladen wird, von einer anderen Domain kam als vorher. Das meine ich mit fehleranfällig....

    Bekomme hier z.B. ständig Fehler "blocked-uri": "gsa://onpageload" und ich habe keine Ahnung was das ist. Rufe ich die gemeldete Seite selbst auf, dann kommt die Meldung nicht.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Das finde ich an der Beschäftigung mit CSP so super: man lernt sich zu fragen, ob man diese externen Dienste überhaupt will :) Ich wollte sie schon vorher nicht und bisher kann ich auch damit leben, die jQuery Rückgriffe auf eval() zu blockieren, ohne in eine Funktionseinschränkung zu laufen.

    Hi Chris,

    ja, das überlegte ich auch schon, aber drei Dinge kann ich nicht weg lassen. Piwik, Adsense und Maps. Und gerade Maps und Adsense machen Probleme, denn dort können sich die URLs jederzeit ändern und für die muss man auch noch unsafe-eval aktivieren. Jetzt habe ich schon so viele Domänen per Wildcard freigegeben und es hagelt noch immer Fehlerberichte. Alleine in den letzten 60 Minuten über 250 Stück ;) Piwik ist nicht das Problem, da hätte ich ja volle Kontrolle drüber.

    Dann viel mir die letzten 24 Stunden auch auf, dass da noch viel mehr geblockt wird, was aber wohl gar nicht von mir ist sondern von irgendwelchen Addons bei den Usern. z.B. Toolbars von Avira und AVG, dann irgend ein CDN, der hier auch immer wieder aufschlägt. Ganz duster wird es teilweise auch noch bei mobilen Nutzern, bei denen ein Proxy zwischen geschaltet ist, der externe Scripte automatisch inline reinschreibt. Bei denen ist quasi alles gesperrt.

    Dieses "gsa://onpageload" kommt auch alle paar Minuten, dann mal Stunden nicht. Und ich habe noch immer keinen Schimmer, was das ist.

    So wie es jetzt scheint, ich teste das noch ein paar Tage, aber dann wird CSP wohl wieder rausfliegen.

    Danke und Gruß,
    Ingo

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(