Security Header bei #CGNwebperf

Ich konnte mich viele Monate davor drücken, einen Vortrag bei CGNwebperf zu halten. Aber Stefan, der Organisator, ist hartnäckig geblieben. Und nachdem wir schon im Dezember in unseren Räumlichkeiten eine großartige Lightning-Talk-Session mit anschließendem Performance-Quiz hatten, war es einfach an der Zeit für mich.

Der ursprüngliche Vorschlag war, dass ich etwas über ServiceWorker erzähle. Meine Kollegen durften sich schon oft genug anhören, wie sehr ich ServiceWorker hasse, fürchte, oder liebe. Unsere lange Beziehung war anfangs holprig, aber ist mit den Jahren gereift. Und obwohl ich einiges zu dem Thema zu berichten habe, haben wir das auf ein anderes Mal verschoben.

Aber was sonst erzählt man einem Publikum, dass sich seit einer gefühlten Ewigkeit der WebPerformance verschrieben hat? Natürlich etwas über Security im Web und wie man seine User nicht nur vor den üblichen Attacken wie XSS oder CSRF schützt, sondern sogar dazu beitragen kann, die Gefahr von Meltdown und Spectre abzuschwächen.

Ich hatte das Gefühl, das Thema war ein gewagter Vorschlag. In der Regel geht es hier ja eher um das kleinstmögliche JPEG, die kürzeste Time-To-First-Byte, einen winzigen Speed-Index und auf welcher Kompressions-Stufe man Brotli am liebsten on-the-fly benutzt. Aber als sich schon von der Anzahl der Anmeldungen für das Meetup ablesen ließ, dass es eins der besser besuchten werden würde, war ich beruhigt.

Auf den Startplatz! Fertig! Los!

Der Startplatz ist, man kann es nicht anders formulieren, eine ziemlich coole Location. Im dritten Stock im Mediapark hat man trotz oder vielleicht gerade wegen der Dunkelheit ein klasse Ambiente im Raum San Francisco. Erst waren wir unterwegs nach New York, aber die Masse der Teilnehmer war doch so groß, dass es dort etwas beengt gewesen wäre. Zumindest beim Startplatz liegt nur ein Katzensprung zwischen den beiden. Und als man dann die letzten der grob geschätzt 25 Teilnehmer noch per Rufsignal umrouten konnte, sollte die Show auch starten.

Kleiner Screen, große Wirkung

Der Bildschirm, den wir aus New York mitgebracht haben, war leider etwas klein. Aber das hat der Vorstellung keinen Abbruch getan. Ob bei X-XSS-Protection, X-Frame-Options oder dem Gedankenspiel, alle 27 mir bekannten Content-Security-Policy Plugins mit den etwa 40 verschiedenen Origins unserer Beispielseite zu kombinieren – wir sind alle nicht müde geworden, uns durch fast zwei Stunden Präsentation zu diskutieren.

Natürlich haben uns auch ein oder zwei Kölsch dabei geholfen, herauszuarbeiten, warum das korrekte Setzen eines Content-Types und das Verbieten des Sniffens desselben dazu führt, dass Angreifer es schwerer haben, durch Meltdown und Spectre sensible Daten auszulesen.

Aber auch die Arbeitsweise von SSL, welche Komponenten einer gesicherten HTTP-Übertragung überhaupt verschlüsselt werden und warum HPKP bald vielleicht komplett durch Googles Certificate Transperency ersetzt wird, wurden thematisiert.

Und spätestens nachdem wir mit wao.io die Website des Startplatzes zumindest zu Demonstrationszwecken beim Security-Checker mit nur wenigen Klicks von einem dicken, knallroten F auf ein appetitlich gelbes B gebracht haben, waren wir uns einig, dass jeder ein paar Minuten investieren sollte, seine schnelle Webseite auch sicher zu machen.

An dieser Stelle möchte ich mich auch nochmal bei dem Publikum bedanken. Eure Fragen, Anmerkungen und die daraus resultierenden Diskussionen sind es, die diese Meetups besuchenswert und jeden – noch so langatmigen – Vortrag interessant machen.

Wir sehen uns sicher wieder, am ersten Donnerstag im Monat. Ob mit einschlägigen Performance-Talks oder anderen, nicht weniger interessanten und sicher nicht weniger relevanten, Themen!

Zur Blog-Startseite