SHC
Security Header Copilot
Scan. Priorisieren. Fixen. Nachweisen — mit Diffs, Scheduler, Reports & Governance.

Security Header Copilot – Kostenloser Analyse‑Scan

Scannen Sie eine beliebige öffentlich erreichbare URL und erhalten Sie in Sekunden eine priorisierte Liste an Sicherheits‑ & Hardening‑Findings für HTTP‑Antwort‑Header, TLS & Browser‑Policies. Ideal für erste Bestandsaufnahme oder schnelle Regression‑Checks.

  • Erkennt fehlende Kernheader (HSTS, CSP, Referrer-Policy, COOP/COEP/CORP, Permissions-Policy, X-Content-Type-Options …)
  • CSP Deep Dive: Unsafe Patterns, Nonce/Hash Qualität, Reporting Hygiene, Achievements
  • TLS & Transport Hinweise: Protokolle, Cipher, OCSP Stapling, HTTP/3 / Alt-Svc
  • CORS Policy & aktive Preflight-Probes (Reflections, Missing Vary, Partial Methods/Headers, Aggregation)
  • Cookie Flags & Scope (Secure, HttpOnly, SameSite, Domain/Path & Lebenszeit)
  • Bonus: Achievements (z. B. Hardened CSP, Explizit granular, HTTP/3 Adoption) erhöhen Score positiv

Kostenloser Security Header Scan

Geben Sie eine URL ein – der eigentliche Scan startet auf der nächsten Seite nach einem kurzen Captcha.

Beispiel-URLs:

So funktioniert der Free Scan

Beta

Dieses Projekt befindet sich in aktivem Ausbau. Scoring-Gewichte, Achievements und Erkennungslogik können sich kurzfristig ändern. Ergebnisse sind indikativ – bitte vor produktiven Entscheidungen verifizieren. Feedback willkommen unter feedback@security-header-copilot.local.

Kurzfristige Roadmap (Auszug)

  • API & Bulk Scan Modus (CI / Automation)
  • Anpassbare Scoring Profile (override grading.rules.json per UI)
  • Scheduled Scans & Delta / Diff Reports
  • Erweiterte CSP Entropie & vollständige Reporting Endpoint Liveness Checks
  • CORS: *_DENIED_MULTI & Inconsistent Method/Header Set Detection
  • Mehr Achievements (Reporting Hygiene, Full Isolation, Complete Mail Security)
  • Dark Mode & vollständige EN / DE UI Internationalisierung
  1. Request orchestration: HEAD + bedarfsweise GET (Fallback) → Konsolidierung der Header (verhindert falsche Negativ-Bewertungen bei HEAD‑optimierten Setups).
  2. Scanner Pipeline: Parallelisierte Module (CSP, HSTS, TLS/ALPN, Cookies, CORS Policy + aktive Preflights, Mixed Content, Reporting, DNS E-Mail Rekorde, PWA, WebSockets, XS-Leaks Mitigation).
  3. Normalisierung & Dedupe: Reduktion repetitiver CORS Partial Findings (Aggregation) + Anreicherung von Achievements.
  4. Scoring Engine: Kategoriegewicht (Top-N je Kategorie), Severity Multipliers, Hard-Fails, Safety Floor, anschließend Achievement Bonus.
  5. Output: Priorisierte Liste (HIGH → LOW) inkl. Kurzbeschreibung & evidenznaher Empfehlung (Dokulinks).

Transparente Gewichtung

Score-Reduktionen sind nachvollziehbar durch Kategorien (CORE, CROSS_ORIGIN, TLS …) und klare Gewichte in grading.rules.json.

Keine „FUD“-Findings

Vermeidung künstlicher Inflation: Aggregation statt Spam (z. B. CORS *_PARTIAL_MULTI) & Repeat-Faktoren (1.0 → 0.3 → 0.1 …).

Positive Signale

Achievements belohnen Hardening (z. B. Hardened CSP, HTTP/3 Adoption) ohne andere Kategorien zu neutralisieren.

Was wird geprüft?

Der Free Scan deckt die gleiche Engine ab wie der volle Scanner – sämtliche Module laufen (mit Fair‑Use Limits). Jede Kachel bündelt einen eigenen Scanner oder eine Scanner‑Gruppe.

  • Kern‑Header
  • HSTS / Preload Eignung
  • CSP Deep + Nonce/Hash Qualität
  • Referrer / X-Content-Type-Options
  • Permissions-Policy Basis / Schwächen
  • Frame-/Clickjacking (frame-ancestors)
  • CORS & Isolation
  • ACAO Reflection / Vary Analyse
  • Aktive Preflight Probes (Methods/Headers)
  • Credential Scope & Wildcards
  • COOP / COEP / CORP / OAC
  • XS-Leaks Mitigations Status
  • Transport & TLS
  • Protokolle / Cipher Hygiene
  • HTTP/3 / Alt-Svc / 0‑RTT
  • OCSP Stapling & AIA Reachability
  • Redirect Hygiene / Downgrade Checks
  • Mixed Content & Upgrade Potential
  • Cookies & Sessions
  • Secure / HttpOnly / SameSite
  • Domain / Path Scope & Weite
  • Langlebigkeit / Tracking Risiko
  • Partition / Prefix / Priority
  • Sensible Host‑Mismatch Fälle
  • Integrität & Assets
  • SRI Präsenz / Drift / Algo Mix
  • PWA Manifest & Service Worker Basics
  • Inline & Third‑Party Risiken
  • Asset Caching Hygiene
  • Reporting Config Health
  • DNS / Mail Security
  • SPF / DKIM / DMARC Policy
  • DMARC Reporting Abdeckung
  • CAA / DNSSEC Präsenz
  • Alignment & Lookup Limits
  • Frühe Warnindikatoren
  • API Hardening
  • Rate Limit Header Präsenz
  • Auth / WWW-Authenticate Basics
  • Token im URL / Log-Risiken
  • GraphQL Introspection Status
  • Cache / Method Scope Hinweise
  • Reporting & Telemetrie
  • Report-To / Reporting-Endpoints
  • Endpoint Erreichbarkeit (Status)
  • Correlation / Trace IDs
  • Deprecated Header Aufräumen
  • Achievements (Healthy Setup)
  • WebSockets & App
  • WS Origin / Insecure Scheme
  • Subprotocol Risiken / Kompression
  • Server / Powered-By Exposure
  • Legacy / Deprecated Artefakte
  • App Debug Header Leaks
  • Qualität & Hygiene
  • Compression / Performance Hinweise
  • Minimal Leak Achievements
  • Strict Hygiene Achievement
  • Cache Validator Empfehlungen
  • Inhaltstyp / Mismatch Erkennung
  • Achievements
  • Hardened CSP Nonce/Hash
  • Explizit Granulare CSP
  • Script / Style Tight Policies
  • HTTP/3 / OCSP Stapling / ALPN
  • 0-RTT / Reporting Healthy

Warum besser als „klassische“ Header-Scanner?

Tiefere CSP Analyse

Nonce/Hash Qualitätsmetriken, Duplicate Nonces, require-trusted-types-for, strict-dynamic Validierung & Inline‑Differenzierung (Style vs Script).

Aktive CORS Probes

Mehrfach-Origin Preflight Simulation, Aggregation von PARTIAL Findings ( *_MULTI ), Credential Scope & Reflection‑Erkennung mit Vary‑Validierung.

Scoring Transparenz

Klar definierte Kategorie-Gewichte, Top-N Begrenzung gegen Rauschen, Repeat-Faktoren & Bonus Achievements statt künstlicher Summen‑Inflation.

Positive Motivation

Achievements (H3 Adoption, Hardened CSP, Strong Nonce) erhöhen Score – keine reine Defizit-Perspektive, sondern Fortschrittsanzeige.

HEAD→GET Fallback

Automatische Nachlade-Strategie ergänzt fehlende Header nach HEAD-only Deployments – reduziert False Negatives beim Erstscan.

Breite Modulabdeckung

Von TLS & HTTP/3 bis DNS / Mail, WebSockets, PWA & XS-Leaks – ein konsolidierter Befund statt 6 Einzelscans.

Rauscharm

Aggregation (CORS PARTIAL, Multi-Origin) & deduplizierte Mehrfachheader – Fokus auf echte Risiken statt Listenfüllern.

Entwickler‑freundlich

Konkrete Evidence Ausschnitte, klare nächste Schritte, Mapping zu Spezifikationen & MDN für direkte Umsetzung.

Iteratives Hardening

Report‑Only → Enforce Pfade sichtbar, Zwischenstufen (Granular, Tight, Strong Nonce) messbar im Score.

Hinweis: Der Free Scan limitiert nur Frequenz & Parallelität – nicht die Prüftiefe. Für Automatisierung (CI, Bulk, API) ist ein erweiterter Modus vorgesehen.

Score & Achievements

Der Basis‑Score startet bei 100 und wird durch gewichtete, kategorisierte Findings reduziert. Sicherheitskritische Hard-Fails (z. B. Null-Cipher) erzwingen F. Ein Safety Floor verhindert überzogene Abwertungen bei wenigen mittleren Findings. Achievements addieren bis zu einem konfigurierten Bonus‑Cap (z. B. maximal +6 Punkte) – ohne negative Findings zu maskieren.

Gewichtung

Top-N pro Kategorie: Fokus auf breit kritische Lücken statt Rauschen. CORE & CROSS_ORIGIN haben höhere Caps als ADVISORY.

Repeat Factor

Mehrfach gleiche Issues verlieren schnell Einfluss (1.0 → 0.3 → 0.1 → 0.05).

Achievements

Positivsignale (z. B. Hardened CSP Nonce/Hash, HTTP/3 Adoption, Explizit granular) steigern Motivation & Transparenz.

Datenschutz & Fair Use

Was speichern wir?

  • Es werden keine URLs oder personenbezogene Daten gespeichert
  • Wir speichern Scanzeiten/-dauer für Performance-Optimierungen
  • Findings, um eine Auswertung der häufigsten Fehlerquellen ermitteln zu können.

Rate Limits

  • Fair-Use: einige Scans pro Minute/IP.
  • API / Bulk in Vorbereitung (derzeit nur UI).
  • Missbrauch (z. B. Mass‑Fuzzing) wird geblockt.

FAQ

Verändert der Scan meine Seite?+

Nein. Es werden nur Lesezugriffe (HEAD/GET und separate Preflight-OPTIONS) ausgeführt. Kein Content wird verändert.

Warum sehe ich manchmal weniger Findings als andere Scanner?+

Wir aggregieren Wiederholungen (z. B. mehrere ähnliche CORS Partials) und vermeiden künstliche Score-Erosion. Qualität vor Quantität.

Kann ich die Gewichtung anpassen?+

Im Free Scan nicht. In der erweiterten Version lässt sich grading.rules.json projektspezifisch justieren.

Werden POST/PUT/DELETE Requests ausgeführt?+

Nein. Nur sichere Idempotent-Requests (HEAD/GET + synthetische OPTIONS für CORS Preflight Simulations). Keine Mutationen.

Wie erkenne ich False Positives?+

Jedes Finding liefert Klartext + Evidence Ausschnitt. Bei Unsicherheit: Header lokal reproduzieren (curl) & ggf. Reporting aktivieren.