EinBenchmarking-PortalzurAnalysevonWebseitenaufSicherheits- undPrivatheitsprobleme

DominikHerrmannUniversitätBamberg

PascalWichmannUniversitätHamburg

mitMaxMaaß(TUDarmstadt)undHenningPridöhl (UniBamberg)

PRIVACYSCORE.ORG

DominikHerrmannUniversitätBamberg

ProfessorfürPrivacy&Security

PascalWichmannUniversitätHamburg

Bachelor-StudentinInformatik

PRIVACYSCORE.ORG

Motivation

3

Werweißeigentlich,dassichmichfürSozialhilfeinteressiere?

4

4

THENEWNORMAL?

🤔

ExistierendeScanning-DienstekonzentrierensichaufeinzelneSeiten

5

https://www.ssllabs.com/ssltest/

https://observatory.mozilla.org/ – https://securityheaders.io/ – http://urlscan.io/6

https://webbkoll.dataskydd.net/en/

https://www.sit.fraunhofer.de/de/track-your-tracker/– https://https.jetzt/ 7

8

richtensichanServer-Betreiber

verwendenein vordefiniertesBewertungsschema

Description Modifier

HSTSpreloaded 5

HSTSheadermaxage≥6months 0

HSTSheadermaxage<sixmonths -10

HSTSheadernotimplemented -20

HSTSheadercannotbeset,assitecontainsaninvalidcertificatechain -20

https://github.com/mozilla/http-observatory/blob/master/httpobs/docs/scoring.md

Existierende Scanning-Dienste …

PrivacyScorehatanderen Fokus

Ziel:öffentlicheBenchmarks, umAnreize fürBetreiberschaffen,denSchutzderPrivatsphärezuverbessern.

Jederkann(annotierte)ListenvonWebseitenhochladenund(bald™)dasRankingbeeinflussen.

OpenSource(GPLv3+)undOpenData

NUTZERDEFINIERTEATTRIBUTE

SchneidenStädteinBayernbesserabalsinHamburg?

KorreliertGrößeeinesKrankenhausesmitRangseinerWebseite?

?9

Outofscope:Pentesting,SQLI,XSS,…

Ausgewählte Listen

10

Check-Gruppen

EncryptiontoWebsiteNoTracking Encryptionto

Mailserver

ProtectionAgainstOther

Attacks

ThirdParties

Bekannte Tracker

Server-Standorte

HTTPS/STARTTLSverfügbar?

Zertifikat:validity/keysize

Unsichere Protokollversionen:SSLv3…

Bekannte Schwachstellen:Heartbleed…

HSTS

HPKP

AutomatischeUmleitung zu

HTTPS

Informationsleck

Referer-Policy

Security-Header

RankingundDetail-Ergebnisse

12

ÖffentlichesRanking

Sortierungändern

Detail-Ergebnisse

15

Prüfung auftypische Informationslecks

5.5.9-1ubuntu4.22is the current version ‼

.git .svn server.key <domain>.key

phpinfo.php backup.sql server-statusserver-infotest.php

http://www.xxxxxxxxxx.bg/phpinfo.phpZENSIERT

…

16

Rechtliche Zulässigkeit

.git .svn server.key <domain>.key

phpinfo.php backup.sql server-statusserver-infotest.php

Ethische Abwägungen

DürfenwirWebseitenohneZustimmungscannen?

Siehearxiv.org/abs/1705.08889 (GIINFORMATIK2017)

TL;DR:Betrieb inDeutschlandgrundsätzlich erlaubt

PrivacyScoreist ein Dual-Use-Tool.

– nicht alle Ergebnisse leicht zugänglich– Rate-Limiting als Schutzvor DoS

– Blacklisting aufWunsch

Erste ernstzunehmende Beschwerde im November2017.

…

TechnischeUmsetzung

17

18

Verteilte Infrastruktur mit virtuellen Maschinen(derzeit ca.30VMs)

User Master RabbitMQ

PostgreSQL

Redis

Worker Threads

Worker Threads

Master Slaves

...

Worker 1

Worker n

19

testssl.sh

network

openwpm

...

bekannte Tracker?

SSLv3angeboten?

…

HTTPSvorhanden?

{Results}

Entkopplung vonScan-Modulen undChecks

Faktensammeln

interpre-tieren

Scan-Module Checks

während desScanvorgangs

während derAuswertung

openwpm:FirefoxESR+Selenium

Statistiken

20

Ausgewählte Statistiken (November2017)

21

Anzahl SeitenAnzahl Scans

HTTPSverfügbarmit Umleitung

veraltetes SSL:v2/v3

InformationslecksStatus/Debuginfo

Repositories (git/svn)

Datenbank-Dumps

Private-Keys

Anz.Cookies(Mittelwert)für Third-Party-Tracking

27%23 %

2%

3,0%2,5%

0,4%

0,0%

0,0%

8.46670.285

1.6361.636

106

230174

7

8

0

1,60,3

19%19%

1%

2,7%2,0%

0,0%

0,0%

0,0%

19.794150.872

5.4284.564

381

585503

87

17

2

4,52,0

GesamtDeutscheKommunen

AlexaTop50082%

le ider noch nicht öf fent lich

https://httpsecurityrep

ort.com

/site

_survey.h

tml

Top20Cities

Known

Trackers

ThirdParty

Servers

ThirdParty

Cookies Web:HTTPS Mail:STARTTLS

Hamburg 40 81 49 noredirection minorissuesBerlin 22 37 17 minorissues noTLS1.2

Leipzig 6 10 5 noredirection minorissuesMünchen 5 11 3 enforcesHTTP! minorissuesBremen 4 13 3 minorissues noTLS1.2

Dresden 3 8 4 noredirection minorissuesDüsseldorf 2 3 3 certificateissue checktimedoutHannover 2 3 1 minorissues minorissuesKöln 2 3 1 enforcesHTTP! minorissuesStuttgart 1 7 2 noredirection minorissuesBielefeld 1 2 0 noredirection minorissuesBonn 1 1 0 checktimedout minorissuesDuisburg 0 4 0 noredirection checktimedoutEssen 0 2 1 minorissues minorissuesWuppertal 0 2 0 minorissues minorissuesMünster 0 0 0 minorissues noTLS1.2

Dortmund 0 0 0 noTLS1.2 minorissuesNürnberg 0 0 0 noTLS1.2 minorissuesBochum 0 0 0 minorissues minorissuesFrankfurt 0 0 0 minorissues minorissues

adnxs.com googlesyndication.commxcdn.net adsafeprotected.comtealiumiq.com youtube.commookie1.comadform.net criteo.comadtech.de google-analytics.comgstatic.com truste.com oms.eutiqcdn.com adnet.de mathtag.comrefinedads.com stickyadstv.comgoogleapis.com smartadserver.comdoubleclick.net theadex.com m6r.eumpnrs.com adition.com fqtag.com2mdn.netintelliad.de ioam.demeetrics.net turn.com fonts.comcloudfront.net mp-success.comsascdn.com adscale.de nuggad.netcontent-recommendation.net […]

Betriebdurch

Media-agentur

22

Wie verbreitet ist TrackingaufSeitenvonKommunen? (November2017)

23

14 Aug 27 Oct Delta

Piraten 0 0 –

Linke 0 1 ‼

Die PARTEI 0 0 –

CDU 1 1 –

Grüne 1 2 ‼

SPD 1 0 J

FDP 2 2 –

AFD 4 4 –

CSU 5 38 ‼

NO. OF KNOWN TRACKERS

Änderungen im Zeitverlauf nachvollziehbar machen(inEntwicklung)

⁉

Alle URLswerden (mehroder weniger)regelmäßigerneut überprüft.

PrivacyScore.org:EinBenchmarking-PortalzurAnalysevonWebseitenaufSicherheits-undPrivatheitsprobleme

PascalWichmann&DominikHerrmann Followus @privascore

TODOs Listeneditieren,privateListen,User-Management,…

Ranking-Templates,benutzbarereAuswertungen

OCSP,OCSP-Stapling,Browser-Fingerprinting,Inferieren vonVersionsnummern

Abuse-Prozess,Containment,…

Wasfehlt EureIdeen? EureListen!OWASP-Ranking-Schema