PRIVACYSCORE - dfn-cert.de · 16 Rechtliche Zulässigkeit.git .svn server.key .key phpinfo.php...

Sicherheit und Privatheit auf deutschen

Hochschulwebseiten:

Eine Analyse mit PrivacyScore

Tobias MuellerUniversität Hamburg

mueller@informati.uni-hamburg.de

mit Max Maass, Dominii Herrmann, Henning Pridöhl,Matthias Marx und Pascaal #icahmann

PRIVACYSCORE.ORG

Motvaton

3

Wer weiß eigentlich, dass ich mich mir mein Studium nicht leisten kann?

brave new world?

Existerende ccaanning-Diensteionzentrieren sicah auf einzelne ceiten

5

htttps:////www.ssllabs.caom//ssltest//

htttps:////observatory.mozilla.org// – htttps:////secaurityheaders.io// – htttp:////urlscaan.io//

6

htttps:////webbioll.datasiydd.net//en//

htttps:////www.sit.fraunhofer.de//de//tracai-your-tracaier// – htttps:////htttps.jpetzt// 7

8

ricahten sicah ancerver-Betreiber

verwenden ein vordefniertes Bewertungsscahema

Descripton Modifer

HcTc tpreloaded 5

HcTc header max age ≥ 6 months 0

HcTc header max age < six months -10

HcTc header not imtplemented -20

HcTc header caannot be set, as site caontains an invalid caertfcaate cahain -20

htttps:////github.caom//mozilla//htttp-observatory//blob//master//htttpobs//docas//scaoring.md

Existerende Scanning-Dienste …n

PrivacyScore hat anderen Fokus

Ziel: öffentliche Benchmarks, um

Anreize für Betreiber scahafen, den

ccahutz der Privatstphäre zu verbessern.

Jeder iann (annoterte) Listen

von #ebseiten hocahladen und

(bald™) das Ranking beeinfussen.

Otpen courcae (GPLv3+) und Otpen Data

NUTZERDEFINIERTE

ATTRIBUTE

Schneiden öfentliche

Unis besser ab

als private?

Korreliert Größe einer

Uni mit dem Rang ihrer

Webseite?

?9

Out of scope: Pentestng, cQLi, Xcc, …

Ausgewählte Listen

10

Check-Gruppen

Encrypton to Website

No TrackingEncrypton to

Mailserver

Protecton Against Other

Atacks

Third Partes

Beiannte Tracaier

cerver-ctandorte

HTTPc//cTARTTLc verfügbar?

Zertfiat: validity // iey size

Unsicahere Protoiollversionen: ccLv3…

Beiannte ccahwacahstellen: Heartbleed…

HcTc

HPKP

Automatscahe Umleitung zu

HTTPc

Informatonslecai

Referer-Policay

cecaurity-Header

Raniing und Detail-Ergebnisse

12

Öfentlicahes Raniing

corterung ändern

Detail-Ergebnisse

15

Prüfung auf typische Informatonslecks

.git .svn server.key <domain>.key

phpinfo.php backup.sql server-statusserver-infotest.php

…

16

Rechtliche Zulässigkeit

.git .svn server.key <domain>.key

phpinfo.php backup.sql server-statusserver-infotest.php

Ethische Abwägungen

Dürfen wir #ebseiten ohne Zustmmung scaannen?

ciehe Privacayccaore: Analyse von #ebseiten auf

cicaherheits- und Privatheitstprobleme -- Konzetpt und

recahtlicahe Zulässigieit

htttp:////arxiv.org/abs/1705.08889 (GI INFORMATIK 2017)

TL;DR: Betrieb in Deutschland grundsätzlich erlaubt

Privacayccaore ist ein Dual-Use-Tool.

– nicaht alle Ergebnisse leicht zugänglich

– Rate-Limitng als ccahutz vor Doc

– Blacklistng auf #unscah

…

21 Leais

93 Emails

RFC 2142: secaurity@.well-inown//secaurity.txt

webmaster@

17

18

ctatstien

23

TLc 24NoTracai

Ausgewählte Statstken (Februar 2018)

Anzahl Seiten

Anzahl ccaans

→ HTTPS

Mixed caontent

veraltetes ccL: v2//v3

Informatonslecks

ctatus//Debuginfo

Retpositories (git//svn)

Core dumtps

Private-Keys

Anz. Cookies (Mitelwert)

für Third-Party-Tracaiing

55 %

3 %

6 %

5,0 %

67 %

24 %

10 %

0,0 %

426

10.005

234

6

15

21

14

5

2

0

3,5

1,0

26

Wie verbreitet ist Tracking auf Seiten von Universitäten? (Februar 2018)

URL Requests 3rd Pty Cookies

Trackers

http://www.apollon-hochschule.de/ 193 77 38

https://www.hfh-fernstudium.de/ 143 34 14

https://www.bbw-hochschule.de/ 118 0 1

https://www.hwtk.de/ 82 1 1

https://www.the-klu.org/ 82 9 4

https://www.brand-acad.de/ 76 3 3

http://www.thh-friedensau.de/ 75 3 1

https://www.hshl.de/ 74 3 1

https://muthesius-kunsthochschule.de/ 63 4 1

PrivacyScore.org: Ein Benchmarking-Portalzur Analyse von Webseiten auf Sicherheits-und Privatheitsprobleme

Tobias Mueller tprivacayscaore@informati.uni-hamburg.de Follow us @tprivascaore

TODOs Listen editeren, tprivate Listen, User-Management, …

Raniing-Temtplates, benutzbarere Auswertungen

OCcP, OCcP-ctatpling, Browser-Fingertprintng,

Inferieren von Versionsnummern

Containment, …

Was fehlt Listen! Patches!!1OWASP-Ranking-Schema