Logo von iX

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jan Bundesmann 60

State of the Web 2016: Jede zweite Website ist ein Sicherheitsrisiko

Menlo Security: State of the Web 2016 Report

Schwachstellen im Internet werden immer mehr, stellt Menlo Security in seinem Bericht über den "State of the Web" fest. Eine wichtige Rolle spielt das Nachladen externer Inhalte über Werbe-Netzwerke und Content Delivery Networks.

Beim Surfen im Internet stellt fast jede zweite Website ein Sicherheitsrisiko dar. So drastisch präsentiert das Sicherheits-Startup Menlo Security die zentralen Ergebnisse in seinem "State of the Web 2016 Report". Um zu dieser Erkenntnis zu gelangen, untersuchte das Unternehmen die oberste Million aus dem weltweiten Top-Sites-Verzeichnis der Amazon-Tochter Alexa und klassifizierte sie in drei Gefährdungsstufen.

Stufe 1: Für jede Website wurde geprüft, ob die verwendete Software mit Schwachstellen behaftet ist oder im Hintergrund auf Domains zugreift, die solche einsetzt – etwa über Anzeigen-Netzwerke. Außerdem fand ein Abgleich statt, ob die Seite bereits als korrumpiert bekannt ist (Stufe 2) oder ob es in den vergangenen zwölf Monaten sogar einen Sicherheitsvorfall gab (Stufe 3). 355.804 Seiten fielen in Stufe 1, 166.853 in Stufe 2 und 31.938 hatten erst kürzlich sicherheitsbedingte negative Presse.

Das Internet ist überall gefährlich

Gefährdungen gehen somit auch nicht nur von den Schmuddelecken des Internets aus. Menlo Security hatte eine Kategorisierung der untersuchten Internetangebote vorgenommen und festgestellt, dass das Segment "Business & Economy" die größte Zahl möglicher oder bereits ausgenutzter Schwachstellen besitzt (Stufen 1 und 3). Bei Stufe 2 (bekannten Schwachstellen) liegen Pornoseiten vorne.

In der Liste der häufigsten Software mit Sicherheitslücken liegt auf Platz 1 der Webserver nginx 1.8.0, gefolgt von Microsofts IIS 7.5. Danach kommen PHP und Apache in verschiedenen Versionen. Als zentrale Gefahr nennt das Unternehmen Phishing-Attacken über eine vorgeblich vertrauenswürdigen Domain. Sicherheitssoftware auf Client-Seite könne dem praktisch nichts entgegensetzen. Neben der großen Zahl an Angriffszielen steigt auch die Verfügbarkeit von Exploit Kits. Zusätzliche Tiefe erhält die Angelegenheit durch die weite Verzweigung von Internetauftritten: Inhalte werden über Content-Deliver-Networks nachgeladen, Werbung über eigene Netzwerke. Das Aufrufen der eine Million Websites für die Studie hat Inhalte von insgesamt 25 Millionen Seiten involviert.

Kein Flash mehr, dafür Ad-Blocker und Isolation

Endanwendern wird in der Studie empfohlen, Ad-Blocker zu verwenden und auf Flash zu verzichten. Zudem sollte nichts unbedacht heruntergeladen werden. E-Mails sollten im Web-Browser gelesen werden, der Nutzer sollte dort die integrierten Vorschaumodule des Anbieters verwenden. Website-Betreibern legt es den Einsatz von Subresource Integrity nahe: Damit soll sich etwa über Hashwerte die Integrität von externen Inhalten (meist über Content Delivery Networks bezogen) sicherstellen lassen. Unternehmens-Administratoren rät es zu Anwendungsisolation und Plattformen für Remote Browsing. (jab)

60 Kommentare

Themen:

Anzeige
  1. Google straft Popups auf Mobilseiten ab

    Google straft Popups auf Mobilseiten ab

    Google will Mobil-Websites abwerten, die zu große Werbebanner einsetzen. Begründung: Die derzeit verbreitete Werbung frustriere die Nutzer.

  2. re:publica: Adblock Plus erhält Bezahlfunktion

     Frank Rieger (l.) und Thorsten Schröder auf der re:publica

    Der Lieblingsfeind vieler Website-Betreiber möchte nun für sie Geld einsammeln: Auf der re:publica stellt Eyeo FlattrPlus vor.

  3. "Statistisch gesehen": .xyz - der Star unter den neuen Top-Level-Domains?

    "Statistisch gesehen": .xyz - der Star unter den neuen Top-Level-Domains?

    .gmbh, .club, .tech .berlin, .world, .bayern und so weiter: Die Zahl der neu eingeführten Top Level Domains ist groß, doch die meisten führen eher ein Mauerblümchen-Dasein. Ausnahme ist .xyz, wie die Infografik von heise online und Statista zeigt.

  4. Web-Science-Konferenz: Von vielfältigen Filtern, Online-Verhalten und dem digitalen Vermächtnis

    Web-Science-Konferenz: Von vielfältigen Filtern, Online-Verhalten und dem digitalen Vermächtnis

    Im zehnten Jahr der Wissenschaft des Webs beschäftigen sich die Forscher unter anderem mit Verzerrungen bei Web-Daten und der Bewahrung digitaler Inhalte.

  1. Verschlüsselung bei heise online

    Verschlüsselung bei heise online

    Ab sofort ermöglicht Heise Medien den Zugriff auf seine Online-Dienste per HTTPS. Das gilt für alle Domains wie heise.de, ct.de oder ix.de.

  2. Interview mit Mark Mayo: Firefox erfindet sich neu

    Interview mit Mark Mayo: Firefox erfindet sich neu

    Zum Release von Version 42 des Browsers spricht Firefox-Chef Mark Mayo über den Tracking-Blocker, vergangene Fehlentscheidungen, iOS-Firefox und den bevorstehenden Total-Umbau durch das "Electrolysis"-Projekt.

  3. Einführung in das Physical Web

    Der Physical-Web-BLE-Sensor einer Bushaltestelle sendet eine URL aus, die auf die Webseite der Bushaltestelle und Informationen zum nächsten Bus führt (Abb. 1).

    Beacons eignen sich für allerlei Anwendungsszenarien, die Kommunikation zwischen alltäglichen Objekten und ihrer Umwelt erfordern. Das Physical Web hilft Nutzern dabei, die sich daraus ergebenden Möglichkeiten optimal zu nutzen.

  1. TT Isle of Man 2017

    TT Isle of Man feierte 2017 ihr 110. Jubiläum und die Zuschauer strömten wie eh und je zu Tausenden auf die idyllische Insel in der Irischen See. Wegen der Verletzung von Altmeister John McGuiness lief es auf ein Duell zwischen Ian Hutchinson und Michal Dunlop hinaus. Doch es gab auch einige Überraschungen

  2. Fahrbericht: VW Tiguan 2.0 TSI Allspace

    Der VW Tiguan der zweiten Generation, der sich seit 2016 zu ungeahnter Beliebtheit aufschwingt, kommt im November in einer Langversion zu uns. In den USA kommt er unter der schlichten Bezeichnung VW Tiguan bereits in diesem Sommer auf den Markt. Wir konnten ihn dort bereits kurz ausprobieren

Anzeige