Sikker på nettet er et ualmindeligt godt initiativ, der sørger for at sætte fokus på generel sikkerhed på websites. Det er godt, for vores kunder / Websiteejere har fået øjnene op for at der er meget mere end øjet ser der gør et website til godt.
Men når nu kunderne begynder at bruge sikkerpånettet til at validere om vi (bureuaerne, leverandørerne etc) gør det godt nok, så kan man hurtigt få håret i postkassen. For selv om man gør det godt nok (vi har jo tjekket SSLLAbs m.v. for længst) så er SikkerPåNettet ikke nødvendigvis enig.
Så hvor god er SikkerPånettet egentligt.
Well, - Det er faktisk ret godt, - men der er et par fejl der hurtigt kan få det til at se grelt ud.
HSTS
Det er efterhånden standard på langt de fleste websites
HSTS instruerer browseren i at du (som website ejer) forventer at dit site ALTID skal hentes på en TLS forbindelse (https om du vil).
Men, - SikkerPånettet giver vores test-site en dårlig score, da max-value er på 31449600 hvilket svarer til ca. 364 dage (og ikke 365). Heldigvis skriver de også i deres beskrivelse at man anser et site som usikkert hvis max-value er på under 6 måneder. (Figure out the rest)
Sætter vi max-age op med 1 dags tid, så er alting godt igen, og vi har nu scoret 3% mere i testen
CSP
Kigger vi på CSP, så ser vi lidt samme skæve billede.
her i første omgang er alt godt
Her i næste run er den IKKE god, - Eneste forskel er at vi har fjernet frame-ancestors fra vores CSP. (Vi har heldigvis x-frame-options sat til DENY så alt er godt) - Men problemet her er at Sikker på nettet rapporterer at vi IKKE har CSP sat på sitet. Det er ikke korrekt, og der er i dette tilfælde en fin CSP der sikrer vi ikke loader scripts fra fremmede steder (Hvilket er det vi allerhelst vil beskytte os mod).
Tilføjer vi frame-ancestors igen er alt ok, - Men tilføjer vi så noget så risikabelt som unsafe-inline til fx. scripts og styles. så er vi tilbage til square zero. - Der er INGEN CSP på dit website, stadig ikke korrekt, - men ikke desto mindre hvad sikker på nettet rapporterer.
Der er sikkert ingen tvivl om at "unsafe-inline" set ud fra et sikkerhedsmæssigt perspektiv er usikkert, men med den verden vi bevæger os i i dag, - hvor enkelte moduler på websitete har brug for at injecte styles m.v. så er det måske lige en hård nok dom.
Dette var first-takes på sikkerpånettets regelmotor, - næste run bliver på IPV4 vs nødvendigheden af at have IPV6, men der skal jeg lige lære lidt mere inden jeg tør udtale mig.
Og misforstå mig endelig ikke, jeg synes faktisk sikkerpånettet kan noget, men det er bare så umådeligt vigtigt at resultaterne er retvisende.