Mozillas Observatory ist ein überaus hilfreicher und einfach zu bedienender Open-Source (MPLv2) Online Webseiten Security-Abchecker, mit dem diverse Sicherheitschecks über die eigenen Webseiten drübergenudelt werden können/müssten/sollten. Die Tests sind in vier verschiedenen Kategorien unterteilt: HTTP Observatory, TLS Observatory, SSH Observatory und Third-party Tests.

Die erste Kategorie HTTP Observatory scannt den HTTP-Header und die Content-Security-Policy der Webseite. Als Ergebnis gibt es eine Zusammenfassung mit einer ermittelten Rating-Funktion. „A+“ ist die schärfste Bewertung und „F“ müsste dann wohl „You really fucked up“ bedeuten ;). Ein A-Rating ist ohne Schweiß und technischem Hintergrundwissen schwer zu realisieren. Durch einige Webserver-/CMS-/Hosting-Einstellungen sollte aber zumindest eine „B“-Bewertung drin sein, was auch nicht von schlechten Eltern ist.

Unter SSH Observatory kann man einen einfachen SSH-Scan gegen den zu hostenden Webserver anstoßen. Dieser Scan zeigt die benutzen Cipher-Key Stärken sowie Meta-Infos zu dem benutzen Betriebssystem und der SSH-Version an. Hat der Provider seine Hausaufgaben korrekt gemacht, sollte man keine Betriebssystem- sowie Software-Versionsdaten angezeigt bekommen.

Die Kategorien TLS Observatory und Third-party Tests inkludieren weitere externe HTTP-Header, Content Security und TLS/SSL Security-Scans von Seiten wie ssllabs.com, ImmuniWeb, tls.imirhil.fr, securityheaders.com und hstspreload.org.

Folgende Sicherheitstests können auf die Webseite abgefeuert werden:

  • SSH-Security Checks (SSH Observatory)
  • HTTP-Header Checks (HTTP Observatory, Third-party Tests)
  • Content Security Checks (HTTP Observatory, Third-party Tests)
  • TLS/SSL-Security Checks (TLS Observatory, Third-party Tests)

Für CLI-Fuzzis steht das Ganze auch als Kommandozeilen-Toolsammlung zur Verfügung.

Ansicht HTTP Observator-Scan:

Bild Mozilla Observatory - Online Security Webseiten-Scanner

PS: Ich empfehle jedem, der eine eigene Webseite hat, mindesten die Observatory-Sicherheitschecks über die Webseite drüberbügeln zu lassen. Somit kann man abklopfen, ob man beim bauen der Seite selber verkackt hat oder ob der/die angeheuerten Webdesigner/Hoster ihre Arbeit richtig gemacht haben.