# SaferPage Top-3-Fixes

arbeit-corona.uni-osnabrueck.de: Top-3-Betreibermaßnahmen aus Kurzreport, Findings, Modulscore und Betreiberplan.

> Top-Fixes sind priorisierte Betreibermaßnahmen aus öffentlicher SaferPage-Evidenz. Umsetzung und rechtliche Freigabe bleiben beim Betreiber.

## Konsolidierungscheck

Konsolidierungscheck für Top-Fixes: Duplikate, Google-Anwendbarkeit, Formular-Evidenz, Gate-Grenzen und Endnutzer-Wording.
- Kontrollen: 6/6 bestanden
- Grenzen erklärt: 6
- Claim-Grenze: Die Qualitätskontrollen erklären Grenzen der automatisierten Priorisierung. Sie beweisen keine Rechtskonformität und ersetzen keine Betreiberfreigabe.

## Aussage-Ampel

Aussage-Ampel für arbeit-corona.uni-osnabrueck.de: automatisch belegte Signale, manuelle Prüfpunkte und nicht freigegebene Claims bleiben getrennt.
- Aussage-Verlässlichkeit: Belastbares Signal mit manuellen Prüfpunkten (Signal + Betreiberprüfung)
- Verlässlichkeitsgrenze: Die sichtbare Evidence ist auswertbar, aber Formulare, Cookies, Drittanbieter, Google-Tags und Rechtsgrundlagen brauchen Betreiberkontext.
- Besucherhinweis: Der Report zeigt relevante Datenschutz-Signale; vor sensiblen Eingaben die markierten Punkte prüfen.
- Betreiberaktion: Formulare, Cookie-Zwecke, Anbieterrollen, Consent-Zustände und Datenschutzhinweise anhand der direkten Test-URLs prüfen.
- Claim-Grenze: Diese Aussage-Ampel ist ein Export der automatischen Report-Einordnung. Sie ist keine Rechtsberatung, kein Freigabesiegel und keine abschließende Compliance-Bewertung.

### Automatisch belegt
- Score 0/100 als Priorisierung aus passivem HTTP-, HTML-, Header-, Cookie- und Browserkontakt-Sample.
- 29 Browser-Request(s), 0 datenschutzrelevante Drittanbieter-Domain(s), 0 Tracking-Script(s) im gespeicherten Lauf.
- 4 direkt geprüfte Test-URL(s) im Crawl-Abschnitt; die Ziel-Links bleiben im Report nachvollziehbar.
- Crawl-Evidenz: 4 Formular(e) auf 4 geprüften Seite(n) sichtbar, statt sie als nicht vorhanden zu verstecken.

### Manuell prüfen
- Formularzweck, Pflichtfelder, Absendeziel und Datenschutzhinweis je Formular fachlich prüfen.
- Cookies vor Einwilligung nach Funktionscookie, Sicherheit, Load-Balancing, Consent-Speicherung und Tracking trennen.
- Datenschutzerklärung, Impressum, Kontaktwege und Anbieterlisten über sichtbare Navigation und Footer manuell öffnen.
- Google-Tags wurden gesehen: Consent Defaults, Tag-Gating und Datenschutzhinweise mit den konkreten Requests abgleichen.

### Nicht behaupten
- keine DSGVO-Konformität, keine Rechtsberatung und keine Betreiberfreigabe
- kein abschließendes Seriositätsurteil über arbeit-corona.uni-osnabrueck.de
- keine Malwarefreiheit, kein Penetrationstest und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking

## 1. Tracking und Consent zuerst prüfen
- Priorität: hoch / Impact: 88/100
- Owner: Marketing/IT/Datenschutz
- Aktion: Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren; Ablehnen, GPC und Akzeptieren getrennt erneut testen.
- Evidenz: Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.
- Link: /consent/arbeit-corona.uni-osnabrueck.de

## 2. CVE-2023-2745: WordPress Core is vulnerable to Directory Traversal in versions up to, and including, 6.2, via the ‘wp_lang’ parameter
- Priorität: hoch / Impact: 82/100
- Owner: Technik
- Aktion: Betroffene Software aktualisieren oder kompensierend absichern.
- Evidenz: Betroffene Software aktualisieren oder kompensierend absichern.
- Link: /guides/sichtbare-versionen-und-cves-beheben

## 3. Sicherheit, TLS & Header
- Priorität: hoch / Impact: 82/100
- Owner: Technik
- Aktion: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
- Evidenz: 1 Infrastruktur-Hinweis(e), Security-Header: 0/9 vorhanden, 9 fehlen, externe Skript-Hosts: 0.
- Link: /guides/security-header-setzen