Informationen für CMS/made simple

Janl · 27. August 2016 13:56

Wer von uns nutzt das schon?

Mozilla hat ein Tool veröffentlicht, wo man nachsehen kann, wie es mit der Sicherheit von Webseiten steht.

http://www.heise.de/newsticker/meldung/ … 06197.html

Ich habe es weiter ausprobiert, es macht durchaus Sinn.

Erstens braucht man HTTPS. Dann folgende HTTPS Anweisungen für Apache in Plesk

[== apache ==]
Header always add Strict-Transport-Security max-age=15768000;includeSubDomains;preload
Header always set X-Frame-Options: SAMEORIGIN
Header always set X-Content-Type-Options: nosniff

Und dann in der htaccess

[== htaccess ==]
<IfModule mod_headers.c>
  Header set X-Content-Type-Options nosniff
  Header set X-XSS-Protection "1; mode=block"
  Header set Content-Security-Policy "default-src 'self'; font-src 'self' https://fonts.googleapis.com;"
</IfModule>

Beachtet, dass es meine Einstellungen sind, sucht im Internet die verschiedene Einstellungen für jede Zeile, es gibt viele Möglichkeiten.

MfG
Jan

Beitrag geändert von Janl (28. August 2016 00:10)

cyberman · 28. August 2016 21:32

Janl schrieb:

Mozilla hat ein Tool veröffentlicht, wo man nachsehen kann, wie es mit der Sicherheit von Webseiten steht.
http://www.heise.de/newsticker/meldung/ … 06197.html

Danke dir für den Beitrag. Hatte dies auch gelesen und für einen Repost hier vorgesehen wink .

Das Tool namens Observatory findet ihr hier

https://observatory.mozilla.org/

Janl schrieb:

Dann folgende HTTPS Anweisungen für Apache in Plesk

[== apache ==]
Header always add Strict-Transport-Security max-age=15768000;includeSubDomains;preload
Header always set X-Frame-Options: SAMEORIGIN
Header always set X-Content-Type-Options: nosniff

Da nicht alle Hoster Plesk-Zugriff anbieten, lässt sich auch dieser Teil via .htaccess erledigen wink

Header set Strict-Transport-Security "max-age=31556926, includeSubDomains"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options "nosniff"

http://www.guntiahoster.de/blog/2013/al … icherheit/
http://web-development-blog.de/x-frame-options/

Beitrag geändert von cyberman (29. August 2016 22:27)

Janl · 28. August 2016 21:51

Hallo Cyberman,

ich habe grade erfahren, dass "DENY" besser ersetzt wird mit "sameorigin", weil gerade in CMSMS dann einiges nicht mehr funktioniert.

Weiter sollte jeder gut kontrollieren, von wo Scripte nachgeladen werden
Zu das:

[== apache ==]
 Header set Content-Security-Policy "default-src 'self'; font-src 'self' [url]https://fonts.googleapis.com[/url];"

muss

[== htaccess ==]
 script-src 'self'

und alle Sites, von denen Scripte geladen werden - das ist ein wenig suchen.

MfG
Jan

Beitrag geändert von Janl (28. August 2016 21:52)

cyberman · 29. August 2016 22:34

Janl schrieb:

ich habe grade erfahren, dass "DENY" besser ersetzt wird mit "sameorigin", weil gerade in CMSMS dann einiges nicht mehr funktioniert.

Danke für den Hinweis - da es so essentiell für CMSMS ist, hab ich gleich mal die Beiträge hier oberhalb entsprechend angepasst.

Janl · 29. August 2016 22:42

Hallo Cyberman,

ich weiss nicht ob es ein Unterschied macht aber laut Dokumentation ist "sameorigin" klein geschrieben und DENY gross geschrieben.

MfG
Jan

cyberman · 31. August 2016 07:14

Danke für den Hinweis - vermutlich scheint die Schreibweise egal zu sein. Hab es in verschiedenen Quellen mal groß und mal klein geschrieben gesehen ...

#1 27. August 2016 13:56

Re:

#2 28. August 2016 21:32

Re:

#3 28. August 2016 21:51

Re:

#4 29. August 2016 22:34

Re:

#5 29. August 2016 22:42

Re:

#6 31. August 2016 07:14

Re:

Fußzeile des Forums