Was ist das hier?

Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für Contabo).

Schnell‑Triage (5 Minuten)

• Was ist exponiert (Ports, Admin, Webhooks, Origins, Buckets)?
• Sind gerade Anomalien sichtbar (Spikes, 4xx/5xx, Login‑Fehler, Bot‑Traffic)?
• Sind Secrets/Keys kompromittiert (Repo, CI, Logs, Chat)?

Origin-Check (Nginx Snippet)

# Block wildcard origins, allow only your domain
if ($http_origin !~* ^https://(www.)?deine-domain.com$) { return 403; }

Fix‑Schritte (Copy/Paste‑fähig)

• Origin strikt whitelisten (kein * / wildcard).
• Auth auf WS Handshake (token/cookie) erzwingen.
• Rate limits: connect rate + msg rate + concurrent connections.
• Proxy/WAF: Upgrade headers + timeouts korrekt setzen.
• Verifikation: disallowed Origin → 403, allowed Origin → OK.

Verifikation

curl -I https://deine-domain.tld
curl -sS https://deine-domain.tld/health || true

Prävention / Guardrails

• Least privilege
• Logs + Alerts
• Rollback/Deploy-Disziplin

Warnungen

• Änderungen klein halten, verifizieren, dann weiter.

Was andere Tools nicht sagen

Die meisten Guides zeigen nur den Happy Path. Was wirklich wichtig ist: Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für Contabo). – aber erst nach einem erfolgreichen Smoke Test zählt es als erledigt. Viele Admins vergessen den Rollback-Plan und das Monitoring nach dem Change.

• Defaults allein reichen nicht – ohne Verifikation ist jeder Fix unvollständig.
• Externe Scantools sehen oft nicht den Unterschied zwischen 'konfiguriert' und 'wirksam'.
• Incident-Postmortems zeigen: 60% der Rückfälle entstehen durch fehlende Guardrails, nicht durch falschen Fix.