%20--%3e%3ccircle%20cx='32'%20cy='32'%20r='30'%20fill='rgba(99,102,241,0.05)'%20stroke='url(%23icon-gradient)'%20stroke-width='1.5'/%3e%3c!--%20Left%20bracket%20%3c%20--%3e%3cpath%20d='M12%2020L4%2032L12%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Central%20E%20--%3e%3cpath%20d='M22%2018H42V24H28V29H40V35H28V40H42V46H22V18Z'%20fill='url(%23icon-accent)'/%3e%3c!--%20Right%20bracket%20%3e%20--%3e%3cpath%20d='M52%2020L60%2032L52%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Decorative%20dots%20--%3e%3ccircle%20cx='32'%20cy='10'%20r='2'%20fill='%23818CF8'%20opacity='0.7'/%3e%3ccircle%20cx='32'%20cy='54'%20r='2'%20fill='%236366F1'%20opacity='0.7'/%3e%3c/svg%3e){kind=small}
Leitfaden für Sicherheitslücken
Häufige Web-Sicherheitslücken verstehen und beheben, die von VitaPulse erkannt werden
HTTP-Sicherheitsheader
Sicherheitsheader weisen Browser an, eingebaute Sicherheitsmechanismen zu aktivieren und schützen Ihre Benutzer vor häufigen Angriffen.
Hoch
Strict-Transport-Security (HSTS)
Zwingt Browser, sich ausschließlich über HTTPS mit Ihrer Website zu verbinden, und verhindert so Protokoll-Downgrade-Angriffe und Cookie-Hijacking.
Hoch
Content-Security-Policy (CSP)
Definiert vertrauenswürdige Inhaltsquellen und verhindert Cross-Site-Scripting (XSS), Dateninjektionen und Clickjacking-Angriffe.
Hoch
X-XSS-Protection
Aktiviert den eingebauten XSS-Filter des Browsers, der verdächtige Scripting-Versuche erkennt und blockiert.
Mittel
X-Content-Type-Options
Verhindert, dass Browser den MIME-Typ erraten (MIME-Sniffing), und erzwingt die Einhaltung des deklarierten Content-Types.
Mittel
X-Frame-Options
Kontrolliert, ob Ihre Website in einem Frame oder Iframe eingebettet werden kann, und schützt vor Clickjacking-Angriffen.
Niedrig
Referrer-Policy
Kontrolliert, welche Referrer-Informationen bei Navigationen und Anfragen gesendet werden.
Niedrig
Permissions-Policy
Kontrolliert den Zugriff auf Browser-APIs und Gerätefunktionen wie Kamera, Mikrofon, Geolokation und Zahlungen.
Niedrig
Cross-Origin-Opener-Policy (COOP)
Isoliert Ihr Browsing-Kontextfenster von cross-origin Fenstern und verhindert, dass externe Seiten Zugriff auf Ihr window-Objekt erhalten.
Niedrig
Cross-Origin-Resource-Policy (CORP)
Beschränkt, welche Origins Ihre Ressourcen laden dürfen, und schützt vor Spectre-basierten Seitenkanalangriffen.
Niedrig
Cross-Origin-Embedder-Policy (COEP)
Stellt sicher, dass alle cross-origin Ressourcen explizit zustimmen, geladen zu werden, und ermöglicht leistungsstarke APIs wie SharedArrayBuffer.
TLS/SSL-Konfiguration
TLS (Transport Layer Security) verschlüsselt die Kommunikation zwischen Browser und Server. Eine Fehlkonfiguration kann sensible Daten preisgeben.
Hoch
Weak TLS Protocol (TLS 1.0 / 1.1)
Your server supports outdated TLS versions (1.0 or 1.1) that have known cryptographic weaknesses.
Hoch
Weak Certificate Signature Algorithm
Your SSL/TLS certificate uses a weak signature algorithm (such as SHA-1 with RSA PKCS#1) that is vulnerable to collision attacks.
Hoch
Expired SSL/TLS Certificate
Your SSL/TLS certificate has expired or will expire within 30 days.
Mittel
Missing Certificate Transparency
Your SSL certificate does not include Certificate Transparency (CT) information, making it harder to detect misissued certificates.
Niedrig
No Encrypted Client Hello (ECH)
Your server does not support Encrypted Client Hello, which means the domain name (SNI) is visible during the TLS handshake.
Lighthouse-Sicherheitsaudits
Google Lighthouse prüft Ihre Website auf grundlegende Sicherheitsprobleme wie HTTPS-Durchsetzung, sichere Berechtigungsanfragen und Content-Security-Policy.
Hoch
Seite wird nicht über HTTPS bereitgestellt
Ihre Website wird über HTTP statt HTTPS bereitgestellt, was den gesamten Datenverkehr unverschlüsselt lässt.
Hoch
HTTP wird nicht auf HTTPS umgeleitet
Ihre Website leitet HTTP-Anfragen nicht automatisch auf HTTPS um.
Hoch
CSP schützt nicht vor XSS
Ihre Content-Security-Policy ist nicht ausreichend konfiguriert, um vor Cross-Site-Scripting-Angriffen (XSS) zu schützen.
Mittel
No Trusted Types Policy
Your site does not use Trusted Types, a browser API that prevents DOM-based cross-site scripting attacks.
Mittel
Geolokation beim Laden angefordert
Ihre Website fordert die Geolokation des Benutzers beim Seitenaufruf an, ohne vorherige Benutzerinteraktion.
Mittel
Benachrichtigungen beim Laden angefordert
Ihre Website fordert Benachrichtigungsberechtigungen beim Seitenaufruf an, ohne vorherige Benutzerinteraktion.
Niedrig
No Cross-Origin Isolation
Your site is not cross-origin isolated, meaning it cannot use powerful performance APIs and is more vulnerable to side-channel attacks.
Software-Versionen
VitaPulse erkennt Software-Versionen, die auf Ihrer Website sichtbar sind. Veraltete Versionen können bekannte Sicherheitslücken enthalten.