Die Sicherheit von Websites gehört zu den wichtigsten technischen Kriterien. Worauf man dabei vor allem achten sollte, hat Martin Spiltt von Google erklärt.
Um Websites und deren Besucher vor Hacking-Angriffen zu schützen, gilt es, einige Grundregeln zu beachten. Auf die Frage, welches die wichtigsten Sicherheitsmaßnahmen seien, nannte Martin Splitt von Google in einem Webmaster-Hangout diese Punkte:
- Testen auf Cross-Site-Scripting und Cross-Site-Request-Forgery
- Einbinden von Content-Security-Headers
- Content-Security-Report-Only nutzen
- Abhängigkeiten reduzieren und möglichst wenige externe Module verwenden.
Unter Cross-Site-Scripting versteht man Sicherheitslücken auf Websites, durch welche Code von dritter Seite ungeprüft übernommen und ausgeführt wird. Häufig wird zum Beispiel JavaScript-Code auf diese Weise an einen Webserver übergeben, welcher diesen Code dann ausführt.
Beim Cross-Site-Request-Forgery wird dem angemeldeten Nutzer einer Webanwendung eine HTTP-Anfrage untergeschoben. Dessen Browser führt die Anweisung dann aus. Der entsprechende HTTP-Code befindet sich dabei auf der Seite des Angreifers.
Mithilfe des Content-Security-Headers können Administratoren von Websites steuern, welche Ressourcen ein User Agent für eine bestimmte Seite aufrufen darf. Zu den entsprechenden Policies gehören zumeist Server Origins und Endpunkte von Skripten. Das kann vor Cross-Site-Scripting-Angriffen schützen.
Mit der Content-Security-Report-Only-Response können Webentwickler mit Policies experimentieren, indem deren Auswirkugen lediglich überwacht werden, ohne dass sie tatsächlich in Kraft treten.
Bei der Implementierung von Code auf einer Website sollten Abhängigkeiten zu externen Modulen und Bibliotheken so weit wie möglich reduziert werden. Martin Splitt erklärte, es sei besser, Dinge selbst zu entwickeln, anstatt sich dabei auf externe Quellen zu verlassen. Diese Aussage ist allerdings zu relativieren - immerhin können auch Eigenentwicklungen Sicherheitsrisiken bergen, wenn diese nicht mit der nötigen Expertise durchgeführt werden.
Auch die Sicherheit von Websites kann sich auf die Darstellung in der Suche auswirken - etwa durch Anzeige von Sicherheitshinweisen vor dem Aufruf betroffener Seiten, wenn Google einen Hacking-Angriff erkannt hat. Nicht nur deshalb sollte man dem Thema Sicherheit verstärkte Aufmerksamkeit zukommen lassen.
SEO-Newsletter bestellen