+++LIVE+++ #WWSIV heute gegen 20:00 Uhr LIVE auf Twitch! +++LIVE+++

Policy, htaccess & HTTP – XSS, CSP, Olé Olé

Folge №48 · Veröffentlicht am: · Spielzeit: 107 Minuten

In dieser Folge tauchen die Moderatoren Moritz und Constantin in die spannende Welt der Sicherheits-Header und CSPs ein. Sie diskutieren die Bedeutung des Content-Security-Policy-Headers zum Schutz Ihrer Website vor XSS-Angriffen und die Nützlichkeit der Pseudoklasse :read-write. Aber gerade wenn Sie denken, Sie hätten alles gehört, kommt das Duo mit einer überraschenden Wendung: Es stellt sich heraus, dass ihr ganzes technisches Fachwissen nur ein cleverer Trick war, um von der Tatsache abzulenken, dass sie vergessen haben, ihre eigene Website zu sichern! Ups.
– Geschrieben von chatGPT, übersetzt mit Deepl. Verrückte Zeiten.

Shownotes

Begrüßung – [00:00:56]

Retro

  • Moritz: Wer macht hat Macht – [00:07:46]
  • Constantin: Positive Support-Erfahrungen – [00:10:26]
  • Moritz: „This year in review“ madness – [00:13:51]
  • Constantin: StreetView Comeback in Deutschland? – [00:26:36]

Property der Woche: CSS :read-write – [00:29:24]

Tagesthema: HTTP Security – [00:39:10]

  1. X-XSS-Protection & X-Frame-Options – [00:41:34]
  2. Content Security Policy (CSP) – [00:45:38]
  3. CSP Reporting mit report-to oder report-uri – [01:01:39]
  4. Feature-Policy / Permissions-Policy – [01:13:21]
  5. MDN: Feature-Policy
  6. ReportingObserver, featurePolicy/permissionsPolicy – [01:19:45]

GeilTeil: „Alles gesagt“ mit Marina Weisband – [01:35:09]

Das Ende – [01:43:07]

Kommentare

Name

mabikommentierte

am

Zum Thema Apple-Karten in Web: Duckduckgo nutzt Apple Karten zur Darstellung von Locations.
Z.B: https://duckduckgo.com/?q=zkm+karlsruhe&t=h_&ia=web&iaxm=places

Da beide Firmen Wert auf Datenschutz legen, war das wohl ein Match.

Name

Constantinkommentierte

am

Hui, sogar mit ziemlich aktuellem Satellitenmaterial! Aber das StreetView-Pendant gibt’s darüber nicht, oder?

Name

mabikommentierte

am

„Aber das StreetView-Pendant gibt’s darüber nicht, oder?“
Nicht, dass ich wüsste.

Name

Click! Clack! Hack!kommentierte

am

Zum Thema „zu-hörende-Tastatur“: Herrlich! Als Connoisseur mechanischer Keyboards ist es ein Traum das in anderen Podcasts zu hören!

Name

Moritzkommentierte

am

Constantin, du sollst nicht unter anderem Namen kommentieren! 😅

Name

Constantinkommentierte

am

😂 Nein, aber ich freu mich ehrlich über den Kommentar! Und die ist ja schon echt leiser als die alte!

Name

Dankommentierte

am

Dem kann ich mir nur anschließen. Ich hab hier eine Ergodox EZ…und das macht schon spaß. Wobei ich auch sagen muss, ich mag mein Apple Keyboard (MIT Ziffernblock) auch sehr.

Next step: Moonlander keyboard… 🤤

Name

Constantinkommentierte

am

⌨📣💜

Name

sciloqikommentierte

am

Vielleicht eine Alternative zum Microsoft-Tool, welches Moritz gesucht hat?

https://webbkoll.dataskydd.net/de

Dort gibt es einen CSP Abschnitt, und vieles mehr…

Name

sciloqikommentierte

am

A propos: wwsiv.de verschickt bis zu 14 Drittanbieter-Anfragen, und ich habe keiner einzigen davon zugestimmt!!!elf1!11!!! Hab ich da Google gesehen? Twitch? Cloudfront? Anzeige ist raus! (löscht den Kommi gerne wenn das nicht jede*r wissen muss) 😂

Name

Moritzkommentierte

am

Das Tool das ich suchte und offenbar fälschlicherweise bei Microsoft verortete, ist das hier: https://webhint.io/
Offenbar hat das mittlerweile keine Möglichkeit mehr es im Web per URL-Eingabe zu nutzen.

Name

Scheppkommentierte

am

Das ganze Wirrwarr mit dem Reporting ist den Standardsmachern auch sauer aufgestoßen und so gibt es dafür nun… Ihr ahnt es vielleicht… einen weiteren Standard namens „Reporting API“: https://developer.mozilla.org/en-US/docs/Web/API/Reporting_API

Dieser greift das Konzept des `report-to`-Headers auf, entkoppelt das Ganze aber von CSP und öffnet es allen Arten von Report-fähigen Features. Dabei wurde der `report-to`-Header auch schon wieder durch einen verbesserten Nachfolger, den `reporting-endpoints`-Header abgelöst: https://github.com/w3c/reporting/issues/236

Browser-intern läuft dann auch der Report Observer Code, der periodisch und non-blocking die aus verschiedenen Quellen auflaufenden Meldungen an die passenden Endpoints sendet: https://w3c.github.io/reporting/#report-delivery

Konkret sind das CSP- und Permission-🥳-Violations, aber auch Browser-Warnungen wie z.B. Deprecation Warnings und vom Browser angewendete „Interventions“ (siehe https://twitter.com/zcorpan/status/1542857247923081218).

Und eben auch alle Arten von Reports, die in Zukunft erst noch erfunden werden.

PS: Über den Performance Observer haben wir in der N° 33 nicht gesprochen, aber im Prinzip ist der genau wie der Reporting Observer ein sich periodisch füllendes, nicht-blockierendes Log, nur halt für Performance-Metriken à la „Was war mein LCP Element?“ oder „Welche Layout Shifts welcher Elemente haben zum CLS-Wert beigetragen?“.

Name

Constantinkommentierte

am

Oh Mann… 🙈 Ich spare mir an dieser Stelle den Link zum XKCD-Comic bezüglich Standards. 😂

Danke mal wieder für deinen Input!

Name

Nielskommentierte

am

Schöne Grüsse aus Schweden!
ich höre auf der Fahrt zur Arbeit immer euren Podcast. Danke dafür!

Diese Folge habe ich noch nicht ganz zuende gehört, aber wurde hellhörig beim Thema http Security Headers.
Also falls ihr sie noch nicht kennen solltet, so kann ich folgende Seite empfehlen, mit der man weitestgehend kostenlos seine Seite analysieren kann und wo es auch einiges zu dem Thema zu lesen gibt.

https://securityheaders.com/

Hoffe, ich habe nichts überhört oder -lesen und dass der Link hilfreich sein möge. 😉

Bier!

Name

Constantinkommentierte

am

Hej, danke für den Input, das werden wir uns mal ansehen! 😃
Viele Grüße zurück nach Schweden! 🇸🇪

Kommentiere!
Folgendes HTML erlaubt
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Die E-Mail-Adresse wird nicht öffentlich angezeigt.

Wir sind im Moment live auf Twitch!