Rödermark, geht es noch fahrlässiger?
Warum noch etwas schreiben, wenn eine Lösung des Problems doch bereits angekündigt ist?
1.) Es ist eine Sache von Minuten, um das SEIT JAHREN bestehende Sicherheitsrisiko zu beseitigen.
2.) Auf Ankündigungen der Verwaltung gebe ich keinen Pfifferling mehr.
Eine FDP Anfrage bezog sich auf die Sicherheit der Internetseite der Stadt Rödermark. Unter Zuhilfenahme der Webseite der Stadt wird die Möglichkeit eröffnet, dass Nutzer durch scheinbar harmlose Mausklicks unerwünschte Aktionen durchführen.
Bis August 2017 müssen wir jetzt noch auf einen sichern Webauftritt warten. Die Lösung ist eine Aufgabe von Minuten. Nur diese Zeile in die .htaccsess schreiben und man ist gesichert. Header always append X-Frame-Options DENY
Wenn jetzt einer behauptet, der Einbau eines Schutzmechanismus (eine Zeile mit 41 Zeichen in .htaccess) ist – umfangreich, kompliziert, teuer, usw. – bekäme von mir die Schulnote 6 und eine Abmahnung. Genau auf dieses Problem hatte ich vor einigen Jahren ein Geldinstitut in Hessen (belegbar) hingewiesen. Innerhalb kürzester Zeit wurde das Sicherheitsrisiko geschlossen. So arbeiten verantwortungsvolle und kompetente Webmaster.
Bereits im August 2015 hatte ich die Stadt Rödermark auf dieses Problem hingewiesen. Man hat auch im Rahmen eines Projektes (mir fällt wirklich kein treffender Name ein) – Jugend forscht – eine sehr stümperhafte Lösung eingebaut. Man sperrte einen Teil der Internetnutzer aus. Dokumentation einer unglaublich laienhaften Lösung hier.
Ebenfalls 2015 habe ich mit dem Hessischen Datenschutzbeauftragten, mit Hinweis auf die Stadt Rödermark, diesbezüglich korrespondiert. Die Antwortmail habe ich noch. Leider fehlt mir meine Anfrage. Da man aus diesem Grund den Zusammenhang anzweifeln könnte, nutze ich die Antwort hier nicht als weiteren Hinweis auf die bestehende Sicherheitslücke.
Ich bin auch seinerzeit von Kommentatoren beschimpft worden.
Nachdem das Problem mehr als zwei Jahre (Wohlgemerkt. Beseitigung ist ein Aufwand von Minuten) der Stadt NACHWEISLICH bekannt ist, ist jetzt eine Beseitigung erst für August 2017 avisiert.
Frage.
Ist die Webseite der Stadt Rödermark derzeit auf aktuellstem Softwarestand gegen so genannte „Clickjacking“-Attacken geschützt? Auch dann geschützt, wenn die/der Anwender/-in JavaScript in ihren/seinen Browsereinstellungen deaktiviert hat?
Antwort.
Die Seite ist grundsätzlich gegen Clickjacking-Attacken geschützt. Für die Anwendermit deaktiviertem Javascript ist aktuell kein Schutz vorhanden. Wird aber bei der
Umsetzung auf das neue Design berücksichtigt.
Aha. Grundsätzlich mit Ausnahme. Die Ausnahme sind aber genau die sicherheitsbewussten Anwender. Die Anwender, die nur bei ausgesuchten und sichern Seiten Javascript zulassen. Z.B. beim Banking.
Frage:
Welche PHP-Version wird derzeit bei der städtischen Homepage eingesetzt
Antwort:
Aktuell wird die Version 5.4 eingesetzt.
Eine Testanfrage ergibt allerdings folgendes, unverbindliches Ergebnis:
PHP veraltet. Update dringend empfohlen. Version 5.2.x: -> X-Powered-By: PHP/5.2.10
Für die Webseite „http://buergerservice-roedermark.de/“ wird PHP 5.6.x eingesetzt.
Siehe auch
» Bundesamt für Sicherheit warnt von Clickjacking
» 25.08.2015 Es gibt Webmaster die sperren Besucher aus.
Rödermark intern.
Haushaltszahlen
Zahlen zu den Haushalten ab 2011