Security & Privacy — Arthur Vogel

Diese Seite lebt was sie predigt.

Jeder Aufruf dieser Site lässt sich live gegen die unten genannten Audit-Tools prüfen. Keine Marketing-Badges — nur Header, Hashes und Adressen, die jede:r selbst nachschlagen kann.

Audit-Targets

Diese Werte sind die Zielwerte und können jederzeit live gegengeprüft werden. Ein erfolgreicher Audit-Lauf wird hier dokumentiert, sobald die Domain unter Last steht.

Mozilla Observatory: Ziel: A+; Live verifizieren →
SSL Labs: Ziel: A+; Live verifizieren →
securityheaders.com: Ziel: A+; Live verifizieren →
Lighthouse: Ziel: 100 / 100 / 100 / 100; Live verifizieren →

Was technisch durchgesetzt wird

Alle Header werden vom nginx-Container gesetzt und sind in den DevTools (Tab Network → Headers) jeder Antwort sichtbar.

HSTS preload-fähig: max-age=63072000; includeSubDomains; preload
Strict CSP: default-src 'self'; kein unsafe-eval, keine inline-Scripts, frame-ancestors 'none'
X-Frame-Options: DENY (Defense-in-Depth zusätzlich zu CSP frame-ancestors)
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: alle nicht genutzten Browser-Features (Kamera, Mikro, Geolocation, USB, Sensoren …) deaktiviert
Cross-Origin-Isolation: COOP same-origin · CORP same-origin · COEP require-corp
Transport: TLS 1.3 via Let’s Encrypt am Traefik-Edge, automatische Erneuerung

Beispiel: HEAD-Request gegen die Live-Domain

$ curl -sI https://arthur.levit-cloud.de/ | sort
HTTP/2 200
content-security-policy: default-src 'self'; script-src 'self'; ...; frame-ancestors 'none'
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
cross-origin-resource-policy: same-origin
permissions-policy: accelerometer=(), camera=(), geolocation=(), microphone=(), ...
referrer-policy: strict-origin-when-cross-origin
strict-transport-security: max-age=63072000; includeSubDomains; preload
x-content-type-options: nosniff
x-frame-options: DENY

Privacy-Stand

Verifizierbar im DevTools-Network-Tab: alle Requests gehen ausschließlich gegen arthur.levit-cloud.de.

0 Cookies: kein Set-Cookie auf irgendeinem Pfad
0 LocalStorage / SessionStorage: keinerlei Browser-Speicher genutzt
0 Third-Party-Requests: inkl. Inter-Font self-hosted; kein CDN, kein Google Fonts
0 Tracker: kein Analytics, kein Pixel, kein Tag-Manager
Server-Logs: IP nach 7 Tagen gekürzt, vollständige Löschung nach 14 Tagen
E-Mail: ROT13-obfuskiert mit Click-to-Reveal (kein Plaintext-mailto)

Security Contact

Sicherheitsrelevante Funde bitte verantwortungsvoll und vorzugsweise verschlüsselt melden.

/.well-known/security.txt (RFC 9116)
/.well-known/pgp-key.txt
PGP-Fingerprint: B5AB AFAD 3CFB 938A 5A79 5915 11D9 5833 A420 F0F5 (RSA 4096, gültig bis 2028-04-27)
E-Mail: a.vogel@avotech.de