Warum wir keine Content-Security-Policy oder Permissions-Policy nutzen
Fast täglich erreichen uns Hinweise von „Sicherheitsexperten“, die uns darauf aufmerksam machen, dass wir auf unserer Website weder eine Content-Security-Policy (CSP) noch einen Permissions-Policy-Header implementiert haben.
Ja, das ist korrekt – wir verwenden diese Sicherheits-Header derzeit nicht. Dies ist jedoch eine bewusste technische Entscheidung und nicht das Ergebnis von Unwissen oder Nachlässigkeit.
Warum die Permissions-Policy für uns irrelevant ist
Mithilfe des Permissions-Policy-Headers kann der Zugriff auf Hardware-Features wie Kamera, Mikrofon, Geolocation, Bluetooth, USB-Geräte und ähnliche sensible Browser-APIs kontrolliert werden. Da unsere Website keinen Zugriff auf diese Gerätefunktionen benötigt oder anfordert, würde der Header lediglich Funktionen blockieren, die wir ohnehin nicht verwenden.
Dies ist vergleichbar damit, ein Schloss an einer nicht existierenden Tür anzubringen – technisch möglich, aber ohne praktischen Nutzen. Moderne Browser zeigen standardmäßig bereits Berechtigungsanfragen für alle sensiblen Features an, bevor diese verwendet werden können. Der Nutzer muss explizit zustimmen, was bereits einen ausreichenden Schutz darstellt.
Nur etwa 1,2 % aller Websites verwenden diesen Header, was seine geringe praktische Relevanz für die meisten Anwendungsfälle unterstreicht. In unserem Fall würde er zusätzlichen Overhead ohne erkennbaren Sicherheitsgewinn bedeuten.
Der Grund für das Fehlen von CSP ist Werbung und Scripte von Drittanbietern
Der Hauptgrund für diese Entscheidung liegt in der Natur unseres Geschäftsmodells. Wir schalten Werbung von verschiedenen Werbenetzwerken, die dynamisch Skripte von unterschiedlichen und wechselnden Domains laden. Diese Skriptquellen und Domains ändern sich regelmäßig, ohne dass wir im Voraus wissen, welche neuen Quellen hinzukommen oder welche alten entfernt werden.
Das Problem mit CSP und Werbung
Werbeanbieter verwenden häufig Inline-Skripte und Stylesheets, die von einer Content-Security-Policy standardmäßig blockiert würden. Darüber hinaus nutzen sie oft wechselnde CDNs und Subdomains, was eine vorhersagbare Whitelist unmöglich macht. Werbe-Scripts generieren zur Laufzeit weitere Scripts und laden zusätzliche Ressourcen nach, deren Quellen uns nicht bekannt sind.
Die verwendeten Tracking-Pixel, Analytics-Dienste und weitere Third-Party-Abhängigkeiten stammen von Partnern, über deren technische Implementierung wir keine vollständige Kontrolle haben. Eine restriktive Content-Security-Policy würde diese essenziellen Funktionen blockieren und damit die Grundlage unseres Geschäftsmodells gefährden.
Warum eine CSP in unserem Fall problematisch wäre
Eine strikte Content-Security-Policy würde unsere Werbeanzeigen blockieren oder deren Funktionalität erheblich einschränken. Dies hätte direkte Umsatzeinbußen zur Folge, da nicht funktionierende Werbung sowohl unsere Einnahmen als auch die Zufriedenheit unserer Werbepartner beeinträchtigt.
Der Wartungsaufwand wäre unverhältnismäßig hoch, da wir die Richtlinie ständig anpassen müssten, sobald Werbepartner neue Skripte oder Domains verwenden. Dies würde eine kontinuierliche Überwachung und häufige Anpassungen erfordern, die in keinem sinnvollen Verhältnis zum Nutzen stünden.
Alternative Sicherheitsmaßnahmen
Anstatt eine Content-Security-Policy zu implementieren, setzen wir auf andere bewährte Sicherheitsmaßnahmen. Dazu gehören regelmäßige Sicherheitsupdates aller verwendeten Softwarekomponenten, eine sichere Serverkonfiguration mit gehärteten Einstellungen sowie eine umfassende Eingabevalidierung und -bereinigung aller Nutzerdaten.
Darüber hinaus verwenden wir durchgängig HTTPS-Verschlüsselung für alle Verbindungen, setzen sichere Cookie-Einstellungen mit entsprechenden Flags und betreiben kontinuierliches Monitoring sowie Logging aller sicherheitsrelevanten Ereignisse. Diese Maßnahmen bieten einen soliden Schutz, ohne die Funktionalität unserer Website zu beeinträchtigen.
Unsere Bitte an die Sicherheitsexperten
Die Implementierung einer Content-Security-Policy ist nicht immer die beste oder einzig richtige Lösung. Bei werbebasierten Websites kann sie mehr Probleme verursachen als lösen. Wir bewerten die Situation kontinuierlich und werden eine Content-Security-Policy implementieren, sobald sich praktikable technische Lösungen für die Herausforderungen mit Werbeinhalten etabliert haben.
Wir bitten deshalb, uns keine weiteren Hinweise zu fehlenden Content-Security-Policy- oder Permissions-Policy-Headern mehr zu senden. Diese Entscheidung wurde nach sorgfältiger Abwägung aller technischen und geschäftlichen Aspekte getroffen.
Ja, das ist korrekt – wir verwenden diese Sicherheits-Header derzeit nicht. Dies ist jedoch eine bewusste technische Entscheidung und nicht das Ergebnis von Unwissen oder Nachlässigkeit.
Warum die Permissions-Policy für uns irrelevant istMithilfe des Permissions-Policy-Headers kann der Zugriff auf Hardware-Features wie Kamera, Mikrofon, Geolocation, Bluetooth, USB-Geräte und ähnliche sensible Browser-APIs kontrolliert werden. Da unsere Website keinen Zugriff auf diese Gerätefunktionen benötigt oder anfordert, würde der Header lediglich Funktionen blockieren, die wir ohnehin nicht verwenden.
Dies ist vergleichbar damit, ein Schloss an einer nicht existierenden Tür anzubringen – technisch möglich, aber ohne praktischen Nutzen. Moderne Browser zeigen standardmäßig bereits Berechtigungsanfragen für alle sensiblen Features an, bevor diese verwendet werden können. Der Nutzer muss explizit zustimmen, was bereits einen ausreichenden Schutz darstellt.
Nur etwa 1,2 % aller Websites verwenden diesen Header, was seine geringe praktische Relevanz für die meisten Anwendungsfälle unterstreicht. In unserem Fall würde er zusätzlichen Overhead ohne erkennbaren Sicherheitsgewinn bedeuten.
Der Grund für das Fehlen von CSP ist Werbung und Scripte von DrittanbieternDer Hauptgrund für diese Entscheidung liegt in der Natur unseres Geschäftsmodells. Wir schalten Werbung von verschiedenen Werbenetzwerken, die dynamisch Skripte von unterschiedlichen und wechselnden Domains laden. Diese Skriptquellen und Domains ändern sich regelmäßig, ohne dass wir im Voraus wissen, welche neuen Quellen hinzukommen oder welche alten entfernt werden.
Das Problem mit CSP und WerbungWerbeanbieter verwenden häufig Inline-Skripte und Stylesheets, die von einer Content-Security-Policy standardmäßig blockiert würden. Darüber hinaus nutzen sie oft wechselnde CDNs und Subdomains, was eine vorhersagbare Whitelist unmöglich macht. Werbe-Scripts generieren zur Laufzeit weitere Scripts und laden zusätzliche Ressourcen nach, deren Quellen uns nicht bekannt sind.
Die verwendeten Tracking-Pixel, Analytics-Dienste und weitere Third-Party-Abhängigkeiten stammen von Partnern, über deren technische Implementierung wir keine vollständige Kontrolle haben. Eine restriktive Content-Security-Policy würde diese essenziellen Funktionen blockieren und damit die Grundlage unseres Geschäftsmodells gefährden.
Warum eine CSP in unserem Fall problematisch wäreEine strikte Content-Security-Policy würde unsere Werbeanzeigen blockieren oder deren Funktionalität erheblich einschränken. Dies hätte direkte Umsatzeinbußen zur Folge, da nicht funktionierende Werbung sowohl unsere Einnahmen als auch die Zufriedenheit unserer Werbepartner beeinträchtigt.
Der Wartungsaufwand wäre unverhältnismäßig hoch, da wir die Richtlinie ständig anpassen müssten, sobald Werbepartner neue Skripte oder Domains verwenden. Dies würde eine kontinuierliche Überwachung und häufige Anpassungen erfordern, die in keinem sinnvollen Verhältnis zum Nutzen stünden.
Alternative SicherheitsmaßnahmenAnstatt eine Content-Security-Policy zu implementieren, setzen wir auf andere bewährte Sicherheitsmaßnahmen. Dazu gehören regelmäßige Sicherheitsupdates aller verwendeten Softwarekomponenten, eine sichere Serverkonfiguration mit gehärteten Einstellungen sowie eine umfassende Eingabevalidierung und -bereinigung aller Nutzerdaten.
Darüber hinaus verwenden wir durchgängig HTTPS-Verschlüsselung für alle Verbindungen, setzen sichere Cookie-Einstellungen mit entsprechenden Flags und betreiben kontinuierliches Monitoring sowie Logging aller sicherheitsrelevanten Ereignisse. Diese Maßnahmen bieten einen soliden Schutz, ohne die Funktionalität unserer Website zu beeinträchtigen.
Unsere Bitte an die SicherheitsexpertenDie Implementierung einer Content-Security-Policy ist nicht immer die beste oder einzig richtige Lösung. Bei werbebasierten Websites kann sie mehr Probleme verursachen als lösen. Wir bewerten die Situation kontinuierlich und werden eine Content-Security-Policy implementieren, sobald sich praktikable technische Lösungen für die Herausforderungen mit Werbeinhalten etabliert haben.
Wir bitten deshalb, uns keine weiteren Hinweise zu fehlenden Content-Security-Policy- oder Permissions-Policy-Headern mehr zu senden. Diese Entscheidung wurde nach sorgfältiger Abwägung aller technischen und geschäftlichen Aspekte getroffen.