ein benchmarking-portal zur analyse von webseiten auf ...ein benchmarking-portal zur analyse von...
TRANSCRIPT
EinBenchmarking-PortalzurAnalysevonWebseitenaufSicherheits- undPrivatheitsprobleme
DominikHerrmannUniversitätBamberg
PascalWichmannUniversitätHamburg
mitMaxMaaß(TUDarmstadt)undHenningPridöhl (UniBamberg)
PRIVACYSCORE.ORG
DominikHerrmannUniversitätBamberg
ProfessorfürPrivacy&Security
PascalWichmannUniversitätHamburg
Bachelor-StudentinInformatik
PRIVACYSCORE.ORG
Motivation
3
Werweißeigentlich,dassichmichfürSozialhilfeinteressiere?
4
4
THENEWNORMAL?
🤔
ExistierendeScanning-DienstekonzentrierensichaufeinzelneSeiten
5
https://www.ssllabs.com/ssltest/
https://observatory.mozilla.org/ – https://securityheaders.io/ – http://urlscan.io/6
https://webbkoll.dataskydd.net/en/
https://www.sit.fraunhofer.de/de/track-your-tracker/– https://https.jetzt/ 7
8
richtensichanServer-Betreiber
verwendenein vordefiniertesBewertungsschema
Description Modifier
HSTSpreloaded 5
HSTSheadermaxage≥6months 0
HSTSheadermaxage<sixmonths -10
HSTSheadernotimplemented -20
HSTSheadercannotbeset,assitecontainsaninvalidcertificatechain -20
https://github.com/mozilla/http-observatory/blob/master/httpobs/docs/scoring.md
Existierende Scanning-Dienste …
PrivacyScorehatanderen Fokus
Ziel:öffentlicheBenchmarks, umAnreize fürBetreiberschaffen,denSchutzderPrivatsphärezuverbessern.
Jederkann(annotierte)ListenvonWebseitenhochladenund(bald™)dasRankingbeeinflussen.
OpenSource(GPLv3+)undOpenData
NUTZERDEFINIERTEATTRIBUTE
SchneidenStädteinBayernbesserabalsinHamburg?
KorreliertGrößeeinesKrankenhausesmitRangseinerWebseite?
?9
Outofscope:Pentesting,SQLI,XSS,…
Ausgewählte Listen
10
Check-Gruppen
EncryptiontoWebsiteNoTracking Encryptionto
Mailserver
ProtectionAgainstOther
Attacks
ThirdParties
Bekannte Tracker
Server-Standorte
HTTPS/STARTTLSverfügbar?
Zertifikat:validity/keysize
Unsichere Protokollversionen:SSLv3…
Bekannte Schwachstellen:Heartbleed…
HSTS
HPKP
AutomatischeUmleitung zu
HTTPS
Informationsleck
Referer-Policy
Security-Header
RankingundDetail-Ergebnisse
12
ÖffentlichesRanking
Sortierungändern
Detail-Ergebnisse
15
Prüfung auftypische Informationslecks
5.5.9-1ubuntu4.22is the current version ‼
.git .svn server.key <domain>.key
phpinfo.php backup.sql server-statusserver-infotest.php
http://www.xxxxxxxxxx.bg/phpinfo.phpZENSIERT
…
16
Rechtliche Zulässigkeit
.git .svn server.key <domain>.key
phpinfo.php backup.sql server-statusserver-infotest.php
Ethische Abwägungen
DürfenwirWebseitenohneZustimmungscannen?
Siehearxiv.org/abs/1705.08889 (GIINFORMATIK2017)
TL;DR:Betrieb inDeutschlandgrundsätzlich erlaubt
PrivacyScoreist ein Dual-Use-Tool.
– nicht alle Ergebnisse leicht zugänglich– Rate-Limiting als Schutzvor DoS
– Blacklisting aufWunsch
Erste ernstzunehmende Beschwerde im November2017.
…
TechnischeUmsetzung
17
18
Verteilte Infrastruktur mit virtuellen Maschinen(derzeit ca.30VMs)
User Master RabbitMQ
PostgreSQL
Redis
Worker Threads
Worker Threads
Master Slaves
...
Worker 1
Worker n
19
testssl.sh
network
openwpm
...
bekannte Tracker?
SSLv3angeboten?
…
HTTPSvorhanden?
{Results}
Entkopplung vonScan-Modulen undChecks
Faktensammeln
interpre-tieren
Scan-Module Checks
während desScanvorgangs
während derAuswertung
openwpm:FirefoxESR+Selenium
Statistiken
20
Ausgewählte Statistiken (November2017)
21
Anzahl SeitenAnzahl Scans
HTTPSverfügbarmit Umleitung
veraltetes SSL:v2/v3
InformationslecksStatus/Debuginfo
Repositories (git/svn)
Datenbank-Dumps
Private-Keys
Anz.Cookies(Mittelwert)für Third-Party-Tracking
27%23 %
2%
3,0%2,5%
0,4%
0,0%
0,0%
8.46670.285
1.6361.636
106
230174
7
8
0
1,60,3
19%19%
1%
2,7%2,0%
0,0%
0,0%
0,0%
19.794150.872
5.4284.564
381
585503
87
17
2
4,52,0
GesamtDeutscheKommunen
AlexaTop50082%
le ider noch nicht öf fent lich
https://httpsecurityrep
ort.com
/site
_survey.h
tml
Top20Cities
Known
Trackers
ThirdParty
Servers
ThirdParty
Cookies Web:HTTPS Mail:STARTTLS
Hamburg 40 81 49 noredirection minorissuesBerlin 22 37 17 minorissues noTLS1.2
Leipzig 6 10 5 noredirection minorissuesMünchen 5 11 3 enforcesHTTP! minorissuesBremen 4 13 3 minorissues noTLS1.2
Dresden 3 8 4 noredirection minorissuesDüsseldorf 2 3 3 certificateissue checktimedoutHannover 2 3 1 minorissues minorissuesKöln 2 3 1 enforcesHTTP! minorissuesStuttgart 1 7 2 noredirection minorissuesBielefeld 1 2 0 noredirection minorissuesBonn 1 1 0 checktimedout minorissuesDuisburg 0 4 0 noredirection checktimedoutEssen 0 2 1 minorissues minorissuesWuppertal 0 2 0 minorissues minorissuesMünster 0 0 0 minorissues noTLS1.2
Dortmund 0 0 0 noTLS1.2 minorissuesNürnberg 0 0 0 noTLS1.2 minorissuesBochum 0 0 0 minorissues minorissuesFrankfurt 0 0 0 minorissues minorissues
adnxs.com googlesyndication.commxcdn.net adsafeprotected.comtealiumiq.com youtube.commookie1.comadform.net criteo.comadtech.de google-analytics.comgstatic.com truste.com oms.eutiqcdn.com adnet.de mathtag.comrefinedads.com stickyadstv.comgoogleapis.com smartadserver.comdoubleclick.net theadex.com m6r.eumpnrs.com adition.com fqtag.com2mdn.netintelliad.de ioam.demeetrics.net turn.com fonts.comcloudfront.net mp-success.comsascdn.com adscale.de nuggad.netcontent-recommendation.net […]
Betriebdurch
Media-agentur
22
Wie verbreitet ist TrackingaufSeitenvonKommunen? (November2017)
23
14 Aug 27 Oct Delta
Piraten 0 0 –
Linke 0 1 ‼
Die PARTEI 0 0 –
CDU 1 1 –
Grüne 1 2 ‼
SPD 1 0 J
FDP 2 2 –
AFD 4 4 –
CSU 5 38 ‼
NO. OF KNOWN TRACKERS
Änderungen im Zeitverlauf nachvollziehbar machen(inEntwicklung)
⁉
Alle URLswerden (mehroder weniger)regelmäßigerneut überprüft.
PrivacyScore.org:EinBenchmarking-PortalzurAnalysevonWebseitenaufSicherheits-undPrivatheitsprobleme
PascalWichmann&DominikHerrmann Followus @privascore
TODOs Listeneditieren,privateListen,User-Management,…
Ranking-Templates,benutzbarereAuswertungen
OCSP,OCSP-Stapling,Browser-Fingerprinting,Inferieren vonVersionsnummern
Abuse-Prozess,Containment,…
Wasfehlt EureIdeen? EureListen!OWASP-Ranking-Schema