frank

Keine Content-Security-Policy und Permissions-Policy?

Aktuell erreichen uns fast täglich Hinweise von sogenannten „Sicherheitsexperten“, die uns darauf aufmerksam machen, dass wir auf unserer Website weder eine Content-Security-Policy (CSP) noch einen Permissions-Policy-Header implementiert haben.

Das stimmt. Wir verwenden diese Sicherheits-Header nicht. Dies ist jedoch eine bewusste technische Entscheidung und nicht das Ergebnis von Unwissen oder Nachlässigkeit. Der Grund für das Fehlen von CSP ist Werbung und Scripte von Drittanbietern.

Ich habe dazu einen Artikel in unserem Hilfe-Center verfasst, der unser Vorgehen genau erklärt:
Warum wir keine Content-Security-Policy oder Permissions-Policy nutzen

Die Implementierung einer Content-Security-Policy ist nicht immer die beste oder einzig richtige Lösung. Bei einer Website wie unserer kann sie mehr Probleme verursachen als lösen.

Wir bitten deshalb, uns keine weiteren Hinweise zu fehlenden Content-Security-Policy- oder Permissions-Policy-Headern mehr zu senden. Diese Entscheidung wurde nach sorgfältiger Abwägung aller technischen und geschäftlichen Aspekte getroffen.

Danke.
Gruß
Frank
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673351

Url: https://administrator.de/forum/content-security-policy-sicherheitsheader-673351.html

Ausgedruckt am: 08.07.2025 um 11:07 Uhr

C.R.S.
C.R.S. 12.06.2025 um 17:25:23 Uhr
Da unsere Website keinen Zugriff auf diese Gerätefunktionen benötigt oder anfordert, würde der Header lediglich Funktionen blockieren, die wir ohnehin nicht verwenden.

Policy-Header dienen generell dazu, Dinge zu blockieren, die nicht verwendet werden. Das ist klassische Defense-in-Depth zur Schadensbegrenzung möglicher Schwachstellen, bei deren Ausnutzung diese Dinge verwendet würden.
Die nötige CSP nicht konkret bestimmen zu können, ist ein häufiger Sachzwang. Dann macht man sie halt zumindest so weit wie nötig.

Ein großes Problem ist das freilich nicht, weil bei so einer Seite alles (bis auf Social Engineering) im Proxy/Browser lösbar bzw. gelöst ist. Unter anderem deshalb werden aber Werbung bzw. Drittanbieter-Origins von Nutzern gefiltert, was dann auch nicht im Sinne der Argumentation ist.
emeriks
emeriks 13.06.2025 um 17:42:01 Uhr
@Frank
Aktuell erreichen uns fast täglich Hinweise von sogenannten „Sicherheitsexperten“, die uns darauf aufmerksam machen, dass wir auf unserer Website weder eine Content-Security-Policy (CSP) noch einen Permissions-Policy-Header implementiert haben.
Ist es so gewollt, dass da 2x derselbe Link hinter ist?
Frank
Frank 13.06.2025 um 17:54:19 Uhr
Zitat von @emeriks:

@Frank
Aktuell erreichen uns fast täglich Hinweise von sogenannten „Sicherheitsexperten“, die uns darauf aufmerksam machen, dass wir auf unserer Website weder eine Content-Security-Policy (CSP) noch einen Permissions-Policy-Header implementiert haben.
Ist es so gewollt, dass da 2x derselbe Link hinter ist?

Nein, natürlich nicht. Ich habe die Links oben korrigiert. Danke für die Info.

Gruß
Frank