Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.
Seiten: 1
#1 29. September 2021 19:04
- Andynium
- Moderator
- Ort: Dohna / SN / Deutschland
- Registriert: 13. September 2010
- Beiträge: 7.017
- Webseite
Sicherheitseinträge in der .htaccess
In der Muster .htaccess der 1.12.3 im Verzeichnis /doc
gibt es ja einen Bereich, der sich der Systemsicherheit widmet
<IfModule mod_headers.c>
# Disable ETags
Header unset ETag
FileEtag None
# For Security
Header set X-Frame-Options "SAMEORIGIN"
</IfModule>
Hab aus gegebenem Anlass eine Webseite mit webpagetest.org geprüft und dort eine ganze Menge Hinweise für Verbesserungen erhalten. Dieser Code-Block sieht jetzt bei mir so aus
<IfModule mod_headers.c>
# Disable ETags
Header unset ETag
FileEtag None
#START HTTP Security Header
# https://julia-vicentini.de/blog/http-security-header-fuer-die-htaccess-datei/
#Content Security Policy - CSP-HEADER
# Lade Inhalte nur von Seiten die explizit erlaubt sind
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas:
# Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; object-src 'self'; script-src 'self'; style-src 'self';"
#Public Key Pins
Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains"
#Strict-Transport-Security
# https://www.cyon.ch/support/a/http-strict-transport-security-hsts-aktivieren
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
#X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"
#X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"
#X-Xss-Protection
Header always set X-XSS-Protection "1; mode=block"
#Referrer-Policy
Header set Referrer-Policy "strict-origin"
#END HTTP Security Header
</IfModule>
Funktioniert bei mir (all-inkl.com) hervorragend...
Offline
#2 29. September 2021 19:07
- Andynium
- Moderator
- Ort: Dohna / SN / Deutschland
- Registriert: 13. September 2010
- Beiträge: 7.017
- Webseite
Re: Sicherheitseinträge in der .htaccess
Übrigens - wie man sieht, der CSP-Header ist bei mir noch nicht aktiv. Muss da noch schauen, welche Ressourcen ich von extern benötige, um sie frei zu geben.
Offline
#3 29. September 2021 19:12
- Andynium
- Moderator
- Ort: Dohna / SN / Deutschland
- Registriert: 13. September 2010
- Beiträge: 7.017
- Webseite
Re: Sicherheitseinträge in der .htaccess
Kleines Goodie am Rande - die Entwicklung von Google Chrome führt eine Liste mit Domains, für die HSTS aktiviert ist. Die Liste wird auch von anderen Browsern wie Firefox, Safari oder Internet Explorer genutzt und hilft das sogenannte Trust-on-first-use-Problem zu lösen. Vergleichbar mit im Browser hinterlegten Root-Zertifikaten ist so garantiert, dass bereits beim ersten Aufruf einer Domain die HSTS unterstützt, eine verschlüsselte Verbindung aufgebaut wird.
Wie man mit einer Webseite auf diese Liste kommt?
Indem man sich hier anmeldet
Offline
#4 05. Oktober 2021 18:35
- nockenfell
- Moderator
- Ort: Lenzburg, Schweiz
- Registriert: 09. November 2010
- Beiträge: 2.927
- Webseite
Re: Sicherheitseinträge in der .htaccess
Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains"
So ganz stimmt das nicht. Es muss schon ein Key hinterlegt werden:
https://developer.mozilla.org/de/docs/W … ey_Pinning
Zudem ist diese Umsetzung Deprecated und in fast allen Browsern nicht mehr verfügbar.
[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog / Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox
Offline
Seiten: 1