Sicherheitseinträge in der .htaccess

Andynium · 29. September 2021 19:04

In der Muster .htaccess der 1.12.3 im Verzeichnis /doc

gibt es ja einen Bereich, der sich der Systemsicherheit widmet

Hier klicken, um den Code zum Kopieren zu markieren

<IfModule mod_headers.c>
# Disable ETags
Header unset ETag
FileEtag None
# For Security
Header set X-Frame-Options "SAMEORIGIN"
</IfModule>

Hab aus gegebenem Anlass eine Webseite mit webpagetest.org geprüft und dort eine ganze Menge Hinweise für Verbesserungen erhalten. Dieser Code-Block sieht jetzt bei mir so aus

Hier klicken, um den Code zum Kopieren zu markieren

<IfModule mod_headers.c>
# Disable ETags
Header unset ETag
FileEtag None

#START HTTP Security Header
# https://julia-vicentini.de/blog/http-security-header-fuer-die-htaccess-datei/

#Content Security Policy - CSP-HEADER
# Lade Inhalte nur von Seiten die explizit erlaubt sind
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas:
# Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; object-src 'self'; script-src 'self'; style-src 'self';"

#Public Key Pins
Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains"

#Strict-Transport-Security
# https://www.cyon.ch/support/a/http-strict-transport-security-hsts-aktivieren
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS

#X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"

#X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"

#X-Xss-Protection
Header always set X-XSS-Protection "1; mode=block"

#Referrer-Policy
Header set Referrer-Policy "strict-origin"

#END HTTP Security Header

</IfModule>

Funktioniert bei mir (all-inkl.com) hervorragend...

Andynium · 29. September 2021 19:07

Übrigens - wie man sieht, der CSP-Header ist bei mir noch nicht aktiv. Muss da noch schauen, welche Ressourcen ich von extern benötige, um sie frei zu geben.

Andynium · 29. September 2021 19:12

Kleines Goodie am Rande - die Entwicklung von Google Chrome führt eine Liste mit Domains, für die HSTS aktiviert ist. Die Liste wird auch von anderen Browsern wie Firefox, Safari oder Internet Explorer genutzt und hilft das sogenannte Trust-on-first-use-Problem zu lösen. Vergleichbar mit im Browser hinterlegten Root-Zertifikaten ist so garantiert, dass bereits beim ersten Aufruf einer Domain die HSTS unterstützt, eine verschlüsselte Verbindung aufgebaut wird.

Wie man mit einer Webseite auf diese Liste kommt?

Indem man sich hier anmeldet big_smile

https://hstspreload.appspot.com/

nockenfell · 05. Oktober 2021 18:35

Andynium schrieb:

Hier klicken, um den Code zum Kopieren zu markieren

Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains"

So ganz stimmt das nicht. Es muss schon ein Key hinterlegt werden:
https://developer.mozilla.org/de/docs/W … ey_Pinning

Zudem ist diese Umsetzung Deprecated und in fast allen Browsern nicht mehr verfügbar.

Forum für CMS/made simple

#1 29. September 2021 19:04

Sicherheitseinträge in der .htaccess

#2 29. September 2021 19:07

Re: Sicherheitseinträge in der .htaccess

#3 29. September 2021 19:12

Re: Sicherheitseinträge in der .htaccess

#4 05. Oktober 2021 18:35

Re: Sicherheitseinträge in der .htaccess

Fußzeile des Forums