Sicherheit und Privatheit auf deutschen
Hochschulwebseiten:
Eine Analyse mit PrivacyScore
Tobias MuellerUniversität Hamburg
mit Max Maass, Dominii Herrmann, Henning Pridöhl,Matthias Marx und Pascaal #icahmann
PRIVACYSCORE.ORG
Motvaton
3
Wer weiß eigentlich, dass ich mich mir mein Studium nicht leisten kann?
brave new world?
Existerende ccaanning-Diensteionzentrieren sicah auf einzelne ceiten
5
htttps:////www.ssllabs.caom//ssltest//
htttps:////observatory.mozilla.org// – htttps:////secaurityheaders.io// – htttp:////urlscaan.io//
6
htttps:////webbioll.datasiydd.net//en//
htttps:////www.sit.fraunhofer.de//de//tracai-your-tracaier// – htttps:////htttps.jpetzt// 7
8
ricahten sicah ancerver-Betreiber
verwenden ein vordefniertes Bewertungsscahema
Descripton Modifer
HcTc tpreloaded 5
HcTc header max age ≥ 6 months 0
HcTc header max age < six months -10
HcTc header not imtplemented -20
HcTc header caannot be set, as site caontains an invalid caertfcaate cahain -20
htttps:////github.caom//mozilla//htttp-observatory//blob//master//htttpobs//docas//scaoring.md
Existerende Scanning-Dienste …n
PrivacyScore hat anderen Fokus
Ziel: öffentliche Benchmarks, um
Anreize für Betreiber scahafen, den
ccahutz der Privatstphäre zu verbessern.
Jeder iann (annoterte) Listen
von #ebseiten hocahladen und
(bald™) das Ranking beeinfussen.
Otpen courcae (GPLv3+) und Otpen Data
NUTZERDEFINIERTE
ATTRIBUTE
Schneiden öfentliche
Unis besser ab
als private?
Korreliert Größe einer
Uni mit dem Rang ihrer
Webseite?
?9
Out of scope: Pentestng, cQLi, Xcc, …
Ausgewählte Listen
10
Check-Gruppen
Encrypton to Website
No TrackingEncrypton to
Mailserver
Protecton Against Other
Atacks
Third Partes
Beiannte Tracaier
cerver-ctandorte
HTTPc//cTARTTLc verfügbar?
Zertfiat: validity // iey size
Unsicahere Protoiollversionen: ccLv3…
Beiannte ccahwacahstellen: Heartbleed…
HcTc
HPKP
Automatscahe Umleitung zu
HTTPc
Informatonslecai
Referer-Policay
cecaurity-Header
Raniing und Detail-Ergebnisse
12
Öfentlicahes Raniing
corterung ändern
Detail-Ergebnisse
15
Prüfung auf typische Informatonslecks
.git .svn server.key <domain>.key
phpinfo.php backup.sql server-statusserver-infotest.php
…
16
Rechtliche Zulässigkeit
.git .svn server.key <domain>.key
phpinfo.php backup.sql server-statusserver-infotest.php
Ethische Abwägungen
Dürfen wir #ebseiten ohne Zustmmung scaannen?
ciehe Privacayccaore: Analyse von #ebseiten auf
cicaherheits- und Privatheitstprobleme -- Konzetpt und
recahtlicahe Zulässigieit
htttp:////arxiv.org/abs/1705.08889 (GI INFORMATIK 2017)
TL;DR: Betrieb in Deutschland grundsätzlich erlaubt
Privacayccaore ist ein Dual-Use-Tool.
– nicaht alle Ergebnisse leicht zugänglich
– Rate-Limitng als ccahutz vor Doc
– Blacklistng auf #unscah
…
18
ctatstien
23
TLc 24NoTracai
Ausgewählte Statstken (Februar 2018)
Anzahl Seiten
Anzahl ccaans
→ HTTPS
Mixed caontent
veraltetes ccL: v2//v3
Informatonslecks
ctatus//Debuginfo
Retpositories (git//svn)
Core dumtps
Private-Keys
Anz. Cookies (Mitelwert)
für Third-Party-Tracaiing
55 %
3 %
6 %
5,0 %
67 %
24 %
10 %
0,0 %
426
10.005
234
6
15
21
14
5
2
0
3,5
1,0
26
Wie verbreitet ist Tracking auf Seiten von Universitäten? (Februar 2018)
URL Requests 3rd Pty Cookies
Trackers
http://www.apollon-hochschule.de/ 193 77 38
https://www.hfh-fernstudium.de/ 143 34 14
https://www.bbw-hochschule.de/ 118 0 1
https://www.hwtk.de/ 82 1 1
https://www.the-klu.org/ 82 9 4
https://www.brand-acad.de/ 76 3 3
http://www.thh-friedensau.de/ 75 3 1
https://www.hshl.de/ 74 3 1
https://muthesius-kunsthochschule.de/ 63 4 1
PrivacyScore.org: Ein Benchmarking-Portalzur Analyse von Webseiten auf Sicherheits-und Privatheitsprobleme
Tobias Mueller [email protected] Follow us @tprivascaore
TODOs Listen editeren, tprivate Listen, User-Management, …
Raniing-Temtplates, benutzbarere Auswertungen
OCcP, OCcP-ctatpling, Browser-Fingertprintng,
Inferieren von Versionsnummern
Containment, …
Was fehlt Listen! Patches!!1OWASP-Ranking-Schema