Befund-Center / Fixplan
lsh-ag.de: 19 konsolidierte Befund(e), davon 0 hoch und 9 mittel priorisiert.
Konsolidierte Arbeitsliste aus öffentlicher SaferPage-Evidenz. Betreiber müssen Befunde fachlich prüfen, interne Systeme ergänzen und nach Umsetzung erneut scannen.
Arbeitsliste
Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
Nachweis: Canonical zeigt auf fremde Domain · Quelle: findingAblehnen sollte genauso leicht auffindbar sein wie Akzeptieren.
Nachweis: Cookie-Hinweis ohne klare Ablehnen-Option · Quelle: findingStraße, Hausnummer, Postleitzahl und Ort im Impressum eindeutig aufführen.
Nachweis: Ladungsfähige Anschrift im Impressum nicht klar erkannt · Quelle: findingUpgrade auf PHP 8.4 oder neuer planen; PHP 8.3 ist laut php.net seit 31.12.2025 aus aktivem Support und erhaelt nur noch Security-Fixes bis 31.12.2027.
Nachweis: PHP 8.3 erhaelt nur noch Sicherheitsfixes · Quelle: findingHeader `x-frame-options` setzen und nach Deployment erneut prüfen.
Nachweis: X-Frame-Options fehlt · Quelle: findingAuskunft, Löschung, Berichtigung, Widerspruch, Widerruf, Fristen und Antwortweg als Betreiberprozess dokumentieren.
Nachweis: Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse. · Quelle: rights_readinessTracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
Nachweis: 0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 78. · Quelle: audit_moduleHTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
Nachweis: 2 Infrastruktur-Hinweis(e), Security-Header: 5/9 vorhanden, 4 fehlen, externe Skript-Hosts: 0. · Quelle: audit_moduleBefund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen.
Nachweis: 5 von 9 wichtigen Security-Headern vorhanden, 5 korrekt bewertet. CSP wirksam mit 6 Direktive(n), 0 Warnung(en), 3 Hinweis(e). · Quelle: security_headerInhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.
Nachweis: Bilder ohne Alternativtext · Quelle: findingscript-src auf konkrete HTTPS-Hosts, Nonces oder Hashes begrenzen.
Nachweis: CSP erlaubt sehr breite Skriptquellen · Quelle: findingbase-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.
Nachweis: CSP ohne base-uri · Quelle: findingobject-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.
Nachweis: CSP ohne object-src · Quelle: findingHeader `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
Nachweis: Cross-Origin-Embedder-Policy fehlt · Quelle: findingHeader `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
Nachweis: Cross-Origin-Opener-Policy fehlt · Quelle: findingHeader `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
Nachweis: Cross-Origin-Resource-Policy fehlt · Quelle: findingBrotli oder gzip für HTML/CSS/JS aktivieren.
Nachweis: Komprimierung nicht erkannt · Quelle: findingEine kurze Beschreibung setzen, die den Zweck der Seite erklärt.
Nachweis: Meta-Description fehlt · Quelle: findingPrüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.
Nachweis: Viele Tastatur-/Eingabe-Listener im Browser erkannt · Quelle: findingQuellen