Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 29. September 2021 19:04

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 6.999
Webseite

Sicherheitseinträge in der .htaccess

In der Muster .htaccess der 1.12.3 im Verzeichnis /doc

gibt es ja einen Bereich, der sich der Systemsicherheit widmet

<IfModule mod_headers.c>
# Disable ETags
Header unset ETag
FileEtag None
# For Security
Header set X-Frame-Options "SAMEORIGIN"
</IfModule>

Hab aus gegebenem Anlass eine Webseite mit webpagetest.org geprüft und dort eine ganze Menge Hinweise für Verbesserungen erhalten. Dieser Code-Block sieht jetzt bei mir so aus

<IfModule mod_headers.c>
# Disable ETags
Header unset ETag
FileEtag None

#START HTTP Security Header
# https://julia-vicentini.de/blog/http-security-header-fuer-die-htaccess-datei/

#Content Security Policy - CSP-HEADER
# Lade Inhalte nur von Seiten die explizit erlaubt sind
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas:
# Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; object-src 'self'; script-src 'self'; style-src 'self';"

#Public Key Pins
Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains"

#Strict-Transport-Security
# https://www.cyon.ch/support/a/http-strict-transport-security-hsts-aktivieren
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS

#X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"

#X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"

#X-Xss-Protection
Header always set X-XSS-Protection "1; mode=block"

#Referrer-Policy
Header set Referrer-Policy "strict-origin"

#END HTTP Security Header

</IfModule>

Funktioniert bei mir (all-inkl.com) hervorragend...

Offline

#2 29. September 2021 19:07

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 6.999
Webseite

Re: Sicherheitseinträge in der .htaccess

Übrigens - wie man sieht, der CSP-Header ist bei mir noch nicht aktiv. Muss da noch schauen, welche Ressourcen ich von extern benötige, um sie frei zu geben.

Offline

#3 29. September 2021 19:12

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 6.999
Webseite

Re: Sicherheitseinträge in der .htaccess

Kleines Goodie am Rande - die Entwicklung von Google Chrome führt eine Liste mit Domains, für die HSTS aktiviert ist. Die Liste wird auch von anderen Browsern wie Firefox, Safari oder Internet Explorer genutzt und hilft das sogenannte Trust-on-first-use-Problem zu lösen. Vergleichbar mit im Browser hinterlegten Root-Zertifikaten ist so garantiert, dass bereits beim ersten Aufruf einer Domain die HSTS unterstützt, eine verschlüsselte Verbindung aufgebaut wird.

Wie man mit einer Webseite auf diese Liste kommt?

Indem man sich hier anmeldet  big_smile  big_smile  big_smile

https://hstspreload.appspot.com/

Offline

#4 05. Oktober 2021 18:35

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.912
Webseite

Re: Sicherheitseinträge in der .htaccess

Andynium schrieb:
Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains"

So ganz stimmt das nicht. Es muss schon ein Key hinterlegt werden:
https://developer.mozilla.org/de/docs/W … ey_Pinning

Zudem ist diese Umsetzung Deprecated und in fast allen Browsern nicht mehr verfügbar.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline