Firmenlogo

Sicherheit

Als Agentur verstehst du die Bedeutung einer optisch ansprechenden und funktionalen Website für deine Kunden/-innen. Die Gewährleistung der Sicherheit dieser Websites gehört möglicherweise nicht zu deinem primären Fachgebiet. Hier kommt Cloudrexx ins Spiel. Cloudrexx bietet mehrere robuste Sicherheitsfunktionen zum Schutz der Websites deiner Kunden/-innen. Lass uns einige dieser Sicherheitsmassnahmen näher betrachten.

Content Security Policy (CSP)

Die Content Security Policy ist ein wichtiger Aspekt der Website-Sicherheit und hilft, verschiedene Arten von Angriffen wie Cross-Site-Scripting (XSS) und Daten-Injektionen zu verhindern. Cloudrexx implementiert CSP gemäss den Best Practices von Google und OWASP, um sicherzustellen, dass deine Websites so sicher wie möglich sind.

Fetch Directives: Diese steuern, woher Ressourcen wie Skripte, Styles und Bilder geladen werden können. Durch die Einschränkung der Inhaltsquellen hilft CSP, die Ausführung unerlaubter Skripte zu verhindern.

Reporting: CSP ermöglicht das Melden von Richtlinienverstössen, wodurch das Cloudrexx-Team potenzielle Sicherheitsbedrohungen schnell überwachen und beheben kann. Diese Berichterstattungsfunktion ist Teil der Sicherheitsstrategie von Cloudrexx, bei der das Unternehmen, das den Cloud-Dienst betreibt, diese Berichte analysiert, um böswillige Aktivitäten zu erkennen. Das bedeutet, dass du dich nicht selbst um die Interpretation dieser Berichte kümmern musst, da wir aktiv die Sicherheit deiner Websites gewährleisten.

Base-uri: Diese Richtlinie beschränkt die URLs, die als Basis für relative URLs in einem Dokument verwendet werden können. Sie stellt sicher, dass alle Links oder Formulare zu den beabsichtigten Zielen geleitet werden, wodurch verhindert wird, dass Angreifer die Navigation deiner Website übernehmen.

CSP aktivieren

Die Einstellung lässt sich unter Administration > Grundeinstellungen > System > Sicherheit mit der Option "Nur vertrauenswürdige Ressourcen zulassen" aktivieren.

HTTP Strict Transport Security (HSTS)

HSTS ist ein Web-Sicherheitsmechanismus, der hilft, Websites vor Man-in-the-Middle-Angriffen zu schützen, indem er sicherstellt, dass Browser nur über HTTPS mit dir interagiert. Cloudrexx setzt HSTS automatisch für eine verbesserte Sicherheit.

Subdomain aktivieren

Cloudrexx erweitert HSTS auf Subdomains, was eine umfassende Sicherheitsdecke bietet, die deine gesamte Webpräsenz abdeckt, nicht nur die Hauptdomain.

Die Einstellung lässt sich unter Administration > Grundeinstellungen > System > Sicherheit mit der Option "Subdomains schützen" aktivieren.

Preload aktivieren

Durch die Aktivierung der Preload-Option kannst du sicherstellen, dass deine Website immer über HTTPS aufgerufen wird, selbst beim ersten Besuch. Dies ist entscheidend, um jederzeit eine sichere Verbindung aufrechtzuerhalten.

Die Einstellung lässt sich unter Administration > Grundeinstellungen > System > Sicherheit mit der Option "HTTPS auch für Erstbesucher" aktivieren.

MIME-Sniffing

MIME-Sniffing ist ein Sicherheitsrisiko, bei dem Browser versuchen, den Inhaltstyp einer Ressource zu bestimmen, selbst wenn der Content-Type-Header nicht angegeben ist. Dies kann zu Sicherheitslücken wie XSS-Angriffen führen. Cloudrexx mindert dieses Risiko, indem es ordnungsgemässe Content-Type-Header setzt, wodurch sichergestellt wird, dass Browser Dateien korrekt und sicher interpretieren.

MIME-Sniffing blockieren

Die Einstellung lässt sich unter Administration > Grundeinstellungen > System > Sicherheit mit der Option "MIME Sniffing blockieren" aktivieren.

Clickjacking

Clickjacking ist ein Angriff, bei dem Benutzer dazu verleitet werden, auf etwas anderes zu klicken als das, was sie wahrnehmen, wodurch möglicherweise vertrauliche Informationen preisgegeben oder unbefugter Zugriff gewährt wird. Cloudrexx bekämpft dies durch die Verwendung von frame-ancestors-Richtlinien innerhalb der CSP, die steuern, ob eine Seite in einem Frame, iFrame oder Objekt eingebettet werden kann. Dies verhindert, dass böswillige Entitäten deine Website einbetten und deine Besucher/-innen täuschen.

Clickjacking blockieren

Die Einstellung lässt sich unter Administration > Grundeinstellungen > System > Sicherheit mit der Option "Fremd-Einbindung blockieren" aktivieren.

HTTPS immer verwenden

Die Richtlinie Upgrade-Insecure-Requests stellt sicher, dass alle HTTP-Anfragen auf HTTPS aufgerüstet werden. Durch die Implementierung dieser Funktion stellt Cloudrexx sicher, dass alle unsicheren Links automatisch zu sicheren Links umgestellt werden, wodurch die Integrität und Sicherheit deiner Website ohne zusätzliche Konfiguration aufrechterhalten wird.

HTTPS forcieren

Die Einstellung lässt sich unter Administration > Grundeinstellungen > System > Sicherheit mit der Option "Nur HTTPS-Verlinkungen zulassen" aktivieren.

Schutz vor Cross-Site Request Forgery (CSRF)

CSRF ist ein Angriff, der einen Endbenutzer dazu zwingt, unerwünschte Aktionen auf einer Webanwendung auszuführen, bei der er authentifiziert ist. Cloudrexx beinhaltet einen CSRF-Schutz, der sicherstellt, dass unautorisierte Befehle nicht im Namen authentifizierter Benutzer ausgeführt werden und somit sensible Benutzeraktionen und Daten schützen.

Auf mögliche CSRF-Angriffe wird mit dem folgender Meldung hingewiesen:

Sitzungsbindung

Die Sitzungsbindung erhöht die Sicherheit, indem Benutzersitzungen an spezifische Parameter wie IP-Adressen oder Geräte gebunden werden. Dies verhindert das Hijacking von Sitzungen und stellt sicher, dass eine gestohlene Sitzung nicht von einem anderen Gerät oder Standort aus wiederverwendet werden kann. Cloudrexx integriert die Sitzungsbindung, um Benutzersitzungen sicher zu halten und unbefugten Zugriff zu verhindern.

Sitzungsbindung aktivieren

Die Einstellung lässt sich unter Administration > Grundeinstellungen > System > Sicherheit mit der Option "Session-Bindung" aktivieren.

Antispam-Schutz bei Webformularen mittels CAPTCHA

Spam-Einreichungen können deine Webformulare überfluten und potenziell Sicherheitsrisiken mit sich bringen. Cloudrexx bietet einen robusten Antispam-Schutz, der sicherstellt, dass nur legitime Benutzer Formulare einreichen können. Dies hält nicht nur Ihre Webformulare sauber, sondern verbessert auch die Gesamtsicherheit, indem verhindert wird, dass automatisierte Spam-Bots Formulare ausnutzen.

CAPTCHA wählen

Die Einstellung lässt sich unter Administration > Grundeinstellungen > System > Sicherheit mit der Option "CAPTCHA Methode" wählen.

DNSSEC

Die DNS Security Extensions (DNSSEC) sind ein Protokoll zur Absicherung des Domain Name Systems (DNS), das die Authentizität und Integrität von DNS-Daten gewährleistet. Cloudrexx nutzt DNSSEC, um sicherzustellen, dass die DNS-Anfragen für deine Websites (via *.cloudrexx.com) nicht manipuliert werden können und die Besucher stets auf die richtige Website geleitet werden.

Empfehlung: Es wird empfohlen, dass auch du DNSSEC für deine eigenen Domains aktivierst. Durch die Implementierung von DNSSEC auf deinen Domains erhöhst du die Sicherheit deiner Webpräsenz weiter und schützen dich und deine Kundschaft vor DNS-Cache-Poisoning und anderen Angriffen, die auf die Manipulation von DNS-Daten abzielen.

DNSSEC aktivieren

Die Einstellung lässt sich in deiner Domainverwaltung aktivieren.