hannoEs gibt eine Webseite "Digitalführerschein". Keine Ahnung was das genau ist, aber es soll irgendwas mit "Deutschland sicher im Netz" zu tun haben, und ist vom BMI gesponsort. https://difue.de/ Aber hier ist Hanno's Digitalführerschein für die Basics sicherer Webseiten:
1. Wenn Du Wordpress nutzt - oder IRGENDEINE ANDERE SOFTWARE - dann installier updates, und erst Recht Sicherheitsupdates. Mach's nicht wie difue.de, wo die Hälfte der Plugins und auch Wordpress selbst nicht aktuell ist.
2. mysql und postgresql port offen haben ist zumindest ungewöhnlich. Es ist keine direkte Sicherheitslücke, aber normalerweise lässt man da verbindungen nur local oder im eigenen Netz zu.
3. Cookies haben ein Secure-Flag. Seit 1997 https://www.ietf.org/rfc/rfc2109.txt - das sorgt dafür dass ein Angreifer im WLAN nicht einfach deine Session hijacken kann, weil das Cookie über unverschlüsseltes HTTP übertragen wird. Benutzt es. Machs nicht wie difue.de.
4. Das mit den Cookies ist aber garnicht so schlimm wenn man HSTS nutzt. Das unterbindet unverschlüsselte Verbindungen nämlich komplett. Also: Machs nicht wie difue.de, nutz HSTS.
5. nichts davon ist ne katastrophe. aber doesn't look good, und ich hab nur 5 minuten damit zugebracht zu gucken.
Mela Eckenfels@hanno Klassiker: ein komplexes layout haben und fürchten, dass ein Update das zerschießt. Daher Updates sein lassen.
zwangseinweisung@hanno Das ist der Unterschied zwischen Theorie und Praxis. Die Sesselbreitsitzer vom BMI hecken theoretisch was aus aber setzen es selber praktisch nicht um.
(hier irgendwelche Rants über Fax und Faxgeräte einfügen)
(hier irgendwelche Rants über Fax und Faxgeräte einfügen)
Hans de Graaff@hanno https://en.internet.nl/site/difue.de/2089540/ doesn’t look good either.
@graaff just looked at this in another thread. sorry, this page marks multiple things that are bogus.
Diego Elio Pettenò@hanno it aligns with the Dutch Governement rules for its websites (even though plenty of them don’t currently match them). I have no strong stance on DNSSEC and I believe CSP is still advisory (so won’t attribute to the score). In the other cases I think they go for “let’s avoid doubt if there are alternatives” over “can we still get away with this”.
Jan WalzerHoffen, dass nicht die @zerforschung darüber stolpert ...
Konstantin 
@hanno Zumindest solange bis du 1024 HTTPS-Seiten besucht hast und damit dann der HSTS-Speicher voll ist 😅
Konstantin :C_H: (@[email protected])
Firefox stores HSTS headers in a file called SiteSecurityServiceState.txt. #HSTS - Part 4/4: Practical Observation #1 🧑💻 Now hold on because it's getting rough: Up to the current version (v110) this file is limited to 1024 entries. #InfoSec #CyberSecurity #BugBounty #Pentesting
Axel Nennker@hanno theoretisch scheint nova.digital für Updates zu sein
https://www.nova-web.de/blog/wordpress-updates-ignorieren-oder-durchfuehren-lassen
Wahrscheinlich gibt es keinen Wartungsvertrag...
https://www.nova-web.de/blog/wordpress-updates-ignorieren-oder-durchfuehren-lassen
Wahrscheinlich gibt es keinen Wartungsvertrag...
a1