comdirect

Da steht:

This includes 'unsafe-inline' or data: inside script-src, overly broad sources such as https: inside object-src or script-src, or not restricting the sources for object-src or script-src.

Das finde ich im persönlichen Bereich:

"Content-Security-Policy: style-src 'self' https://static.comdirect.de/ccf2/ 'unsafe-inline' ;script-src 'self' https://static.comdirect.de/ccf2/ https://www.comdirect.de/cms/ 'unsafe-eval' 'unsafe-inline' ;form-action 'self' https://www.comdirect.de https://kunde.comdirect.de https://trading.comdirect.de https://b2b.comdirect.de https://nutzer.comdirect.de https://mobileapp.comdirect.de https://cfdapp.comdirect.de https://static.comdirect.de https://api.comdirect.de https://*.comdirect-versicherungsmakler.de https://geldautomaten.comdirect.de/ https://cfd.comdirect.de/ / https://www.bonus-sparen.comdirect.de/ https://comdirect.kontowechselservice.de/ https://baufinanzierung.comdirect.de/ https://comdirect.depotwechselservice24.de/ https://portal.ebase.com/ ;frame-src 'self' https://www.comdirect.de https://b2b.comdirect.de https://static.comdirect.de https://kunde.comdirect.de ;img-src data: 'self' https://*.comdirect.de/ https://charts.comdirect.de https://charts.test.comdirect.de ;default-src 'self' https://www.comdirect.de https://trading.comdirect.de https://kunde.comdirect.de https://b2b.comdirect.de https://nutzer.comdirect.de https://mobileapp.comdirect.de https://cfdapp.comdirect.de https://static.comdirect.de https://api.comdirect.de https://*.comdirect-versicherungsmakler.de / ;font-src data: 'self' https://static.comdirect.de/ccf2/ ;report-uri https://www.comdirect.de/cp/csp/reports ;"

'unsafe-eval' 'unsafe-inline' steht drinnen. Es ist doch bekannt, dass man der Sicherheit Willen es nicht so in JavaScript programmiert, dass dies notwendig wird.

"unsafe-eval" ist ein No-Go! Korrigiert euren Code.

Wo ist die Nonce oder der Hash?!? Oder habe ich da etwas übersehen?

Und ein paar andere Dinge, die da nicht in Ordnung sind. Die Hinweise lesen.

Die Seite ist nicht sicher.

PS: Ich möchte keine privaten Nachrichten, welche mir zugesendet werden. Ich mache kein, wie es genannt wurde, "Hard-Selling". Mozilla ist non-profit und ich sehe in der CSP (Content-Security-Policy) Dinge, die man einfach auf sicheren Seiten so nicht tut.

@CommunityDev 

"Die Seite ist nicht sicher" klingt nach einem sehr harten Urteil. Für alle, die sich mit diesen Dingen nicht so gut auskennen, welche Art von Angriffen erlauben diese potentiellen Schwachstellen? Und woher weißt Du, dass diese Schwachstellen auch ausnutzbar sind und nicht nur theoretischer Natur?

Viele Grüße

Weinlese

@Weinlese,

die kritisierten Einstellungen von der comdirect sagen dem Browser vom Bankkunden: Deaktivere einen Teil der Sicherheitsstandards. Es wird zwar auf Domains eingeschränkt (Domain-Name, 'self') aber das reicht so nicht, bzw. ist auch nicht vollständig für alle Bereiche, wo es notwendig wäre. Ein Teil der Keys fehlt.

Sind solche Einstellungen notwendig. Ein klares Nein! Diese Ausnahmen werden nur nötig, wenn schlecht programmiert worden ist. Was heißt schlecht? Es gibt Richtlinien, die man an der Uni lernt oder beim Studium von weltweiten (von allen Top-Firmen anerkannten) Sicherheitsstandards, wo man lernt, was man auf gar keinen Fall so programmieren darf, weil es in der Vergangenheit bei dieser Art von Programmierung zu Sicherheitslecks gekommen ist.

Ignorieren die Programmierer diese Sicherheitsstandards, entweder aus Unkenntnis oder warum auch immer, dann funktioniert die Webseite nicht im Browser (wenn dieser aktuell ist und der Browser die Standards berücksichtigt - heute quasi jeder Brower: Firefox, Chrome, Edge, etc) und die Programmierer / Administratoren können im CSP (Content-Security-Policy) dem Browser mitteilen, einen Teil der Sicherheitseinstellungen wieder zu deaktivieren.

Welche Möglichkeiten hat ein Webseiten-Betreiber (hier die comdirect), wenn der Code nicht … sofort korrigiert werden kann. Die Verwendung von NONCE oder Hashes signieren den "fehlerhaften" Code. Der Browser prüft die Signatur und stellt fest, ob ein Angreifer den Code unterwegs modifiziert hat oder ob die Ausnahmen genauso sind, wie der Code ist, vom Betreiber wirklich gewollt wird. Dann wird es für einen Angreifer viel schwerer. Diese Signaturen fehlen hier. Ich kann sie nirgends sehen.

Wobei ich selbst eher dafür bin, immer eine NONCE oder Hashes zu verwenden.

Einer der schlimmen Programmierfehler, der immer wieder zu Sicherheitsproblemen führt, ist die Verwendung von eval() in JavaScript. In dieser Funktion kann ein Angreifer jeglichen Code platzieren und der Browser führt den brav aus. Nur wenn wirklich schlecht programmiert worden ist und die weltweiten Sicherheitsstandards ignoriert worden sind, muss man das überhaupt einem Browser mitteilen. Ein absolutes No-Go! Die comdirect verwendet eval() und muss deshalb die No-Go! Ausnahme dem Browser mitteilen. Das ist niemals notwendig, es ist unbedingt an dieser Stelle der Code zu korrigieren.

Zudem fehlt der Issuer vom SSL (https) Zertifikat im DNS Record. Der Browser kann nicht überprüfen, ob das HTTPS-Zertifikat vom Webserver tatsächlich vom Domain-Inhaber akzeptiert wird. Das ist Standard!

Die HTTPS Verschüsselung unterstützt CBC. Das ist ein geknackter Cipher. Ja, ich weiß, es gibt Nachbesserungen in TLS 1.2 Aber warum sich das antun, bzw. die Seite unterstützt doch sonst alle aktuellen, sicheren Ciphers.

Usw. Es gibt mehr Fehler als die da oben.

Mich würde ein Dialog auf Fakten interessieren. Und nicht Aussagen wie: "Ich glaube, dass hier alles sicher ist" (das wurde mir via private Nachricht gesendet) Glaube hilft hier nicht weiter. Jeder kann im Browser mal <F12> drücken und sich selbst anschauen, was ich hier kritisiere. Das ist zumindest ein Einstieg, zum Nachvollziehen dieser Kritik. Und ggf. diesselbe Frage an die comdirect stellen.

Ich sehe ausserdem nicht ein, hier beratend tätig zu sein. Umsonst, wohlgemerkt. Mir ist es zufällig aufgefallen und es ist hiermit von mir mitgeteilt worden. Es sollen die Leute korrigieren, die von der comdirect dafür bezahlt werden.

Jeder hier kann für sich selbst entscheiden. Meine Meinung: der comdirect jetzt Zeit zum Antworten lassen und bis dahin ruhig bleiben.

Hier ein Beispiel für eine wirklich gute Seite. Das BSI (Bundesamt für Sicherheit in der Informationstechnik). Man kann sich anschauen, wie die Webseite mit einem "spricht."

www.bsi.bund.de

Das sieht wirklich gut aus. So stelle ich mir das auch bei Banken vor. Das BSI macht es vor.

@CommunityDev 

So wie ich Dich verstehe, heißt das aber nur, dass die Webseite potentiell unsicher ist, nicht dass sie es tatsächlich ist? Sicherheitsfeatures unnötig zu deaktivieren, ist keine gute Sache, das leuchtet mir ein. Vor allem dann nicht, wenn es womöglich gar nicht erforderlich ist.

Es scheint aber deshalb noch nicht zwingend zu sein, dass sich Schwachstellen finden lassen, die überhaupt ausnutzbar sind. Daher finde ich Deine Kritik an schlechtem Programmierstil berechtigt, der Vorwurf der Unsicherheit der ganzen Webseite geht (ohne Belege) meines Erachtens aber zu weit.

Viele Grüße

Weinlese

Nun ja, Fehler, die mir aufgefallen sind, habe ich aufgelistet, oder? Ich habe Vertrauen in die comdirect, dass hier korrekt reagiert wird.

Der Schutz ist gar keine einfache Sache, weil man ständig etwas übersieht und ständig neue Schwachstellen offenbar werden. Es gibt Richtlinien, weil Menschen (Programmierer, Admins, …) Fehler machen, um die Angriffspunkte möglichst gering zu halten. Werden diese Richtlinien, besonders bei sensiblen Daten, nicht eingehalten, ist Kritik berechtigt.

So, ich bin jetzt aus der Sache wieder raus. Habe genug Zeit investiert und es ist die Sache der comdirect. Mich interessiert am Ende die Antwort. Mein Wunsch ist es, dass die comdirect nachbessert.