Permissions-Policy: HTTP-Security-Header zum Schutz vor Feature-Missbrauch

Heutzutage verfügen Webbrowser über diverse Funktionalitäten und Schnittstellen, wie z.B. zum Zugriff auf Kamera, Mikrofon oder Standortdaten des Endgeräts eines Benutzers. In Verbindung mit XSS-Lücken könnten Angreifer, oder eingebundene 3rd-Party-Ressourcen diese Features zweckentfremden bzw. missbrauchen. Zum Schutz davor kann der HTTP-Security-Header Permissions-Policy (ursprünglich Feature-Policy) zum Einsatz kommen. Hiermit lassen sich für eine Website und deren eingebundene Ressourcen einzelne Features explizit sowie gezielt aktivieren, deaktiveren bzw. einschränken.

Näheres zur Permissions-Policy und wie ihr diese auf eurer Website bzw. in eurer Webanwendung einsetzen könnt, erfahrt ihr in diesem Beitrag.

Weiterlesen

Wireguard: Private-Key mit GPG verschlüsselt speichern

Um sich mit einem Wireguard-VPN zu verbinden, wird der eigene private Schlüssel (Private-Key) benötigt. Die Private-Key-Datei ist normalerweise im Konfigurationsvereichnis von Wireguard abgespeichert (siehe auch Wireguard unter Ubuntu einrichten). Aus Sicherheitsgründen sollte die Datei nur Schreibrechte für Root bzw. den Administrator des Systems haben, weil der Private-Key unverschlüsselt gespeichert ist.

Alternativ besteht mithilfe von wg-quick und GPG auch die Möglichkeit den Private-Key verschlüsselt zu speichern. Wie das funktioniert, zeigt dieser Beitrag.

Weiterlesen

Firefox & SSH-SOCKS-Proxy: sicher & privat surfen ohne VPN

Es kann immer mal vorkommen, dass ihr zum Surfen im Internet auf ein fremdes Netzwerk angewiesen seid. Dabei kann es sich z.B. um ein öffentliches, unverschlüsseltes, unsicheres und/oder zensiertes (restriktive Firewall, DNS-Filter usw.) Netzwerk handeln. Um trotzdem sicher und privat im Internet surfen zu können, ist der Einsatz eines VPN eine etablierte sowie beliebte Lösungsmöglichkeit.

Als Alternative, wenn ihr keinen Zugriff auf einen VPN-Server/-Dienst habt, aber z.B. auf eurem Heimrouter ein SSH-Server läuft, könnt ihr auch einen SSH-SOCKS-Proxy als "Notlösung" verwenden. In diesem Beitrag zeige ich euch, wie ihr mit SSH einen solchen SOCKS-Proxy einrichten und mit Firefox verwenden könnt.

Weiterlesen

Wireguard: VPN unter Ubuntu einrichten (Client & Server)

Wireguard ist eine moderne VPN-Software, die alternativ zu OpenVPN oder IPsec für VPNs verwendet werden kann. Im Gegensatz zu den letztgenannten zielt Wireguard darauf ab einfacher, leichtgewichtiger, performanter sowie effizienter zu sein. Aus diesem Grund wird bspw. auch der Einsatz von Wireguard in eingebetten Systemen mit begrenzten Ressourcen, wie z.B. Routern, immer beliebter.

Des Weiteren setzt Wireguard nicht auf eine Client-Server-, sondern auf eine Peer-to-Peer-Architektur in Verbindung mit Public-Key-Verschlüsselung. Prinzipiell lässt sich mit Wireguard aber auch ein VPN mit bekannter Client-Server-Stuktur abbilden. Wie das in der einfachsten Form unter Ubuntu eingerichtet werden kann, zeigt der folgende Beitrag.

Weiterlesen

X-XSS-Protection: HTTP-Security-Header zum Schutz vor XSS-Angriffen

Der HTTP-Security-Header X-XSS-Protection ist zum Schutz vor reflektierten (engl. reflected) Cross-Site-Scripting (XSS)-Angriffen gedacht. Dieser HTTP-Header wird aber nur noch von älterern Webbrowsern, wie z.B. dem Internet Explorer 11, unterstützt. Heutzutage sollte stattdessen lieber eine strikte Content-Security-Policy (CSP) verwendet werden. Der vollständigkeitshalber soll der X-XSS-Protection-Header im Rahmen der Beitragsserie HTTP-Security-Header in diesem Beitrag aber kurz vorgestellt werden.

Weiterlesen