Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 27. August 2016 13:56

Janl
Server-Pate
Ort: Freistadt, Österreich
Registriert: 13. Dezember 2010
Beiträge: 1.053
Webseite

Content Security Policy Header

Wer von uns nutzt das schon?

Mozilla hat ein Tool veröffentlicht, wo man nachsehen kann, wie es mit der Sicherheit von Webseiten steht.

http://www.heise.de/newsticker/meldung/ … 06197.html

Ich habe es weiter ausprobiert, es macht durchaus Sinn.

Erstens braucht man HTTPS. Dann folgende HTTPS Anweisungen für Apache in Plesk

[== apache ==]
Header always add Strict-Transport-Security max-age=15768000;includeSubDomains;preload
Header always set X-Frame-Options: SAMEORIGIN
Header always set X-Content-Type-Options: nosniff

Und dann in der htaccess

[== htaccess ==]
<IfModule mod_headers.c>
  Header set X-Content-Type-Options nosniff
  Header set X-XSS-Protection "1; mode=block"
  Header set Content-Security-Policy "default-src 'self'; font-src 'self' https://fonts.googleapis.com;"
</IfModule>

Beachtet, dass es meine Einstellungen sind, sucht im Internet die verschiedene Einstellungen für jede Zeile, es gibt viele Möglichkeiten.

MfG
Jan

Beitrag geändert von Janl (28. August 2016 00:10)


Ubuntu 16.04 mit KDE - LAMP

Offline

#2 28. August 2016 21:32

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.825
Webseite

Re: Content Security Policy Header

Janl schrieb:

Mozilla hat ein Tool veröffentlicht, wo man nachsehen kann, wie es mit der Sicherheit von Webseiten steht.

http://www.heise.de/newsticker/meldung/ … 06197.html

Danke dir für den Beitrag. Hatte dies auch gelesen und für einen Repost hier vorgesehen wink.

Das Tool namens Observatory findet ihr hier

https://observatory.mozilla.org/

Janl schrieb:

Dann folgende HTTPS Anweisungen für Apache in Plesk

[== apache ==]
Header always add Strict-Transport-Security max-age=15768000;includeSubDomains;preload
Header always set X-Frame-Options: SAMEORIGIN
Header always set X-Content-Type-Options: nosniff

Da nicht alle Hoster Plesk-Zugriff anbieten, lässt sich auch dieser Teil via .htaccess erledigen wink

Header set Strict-Transport-Security "max-age=31556926, includeSubDomains"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options "nosniff"

http://www.guntiahoster.de/blog/2013/al … icherheit/
http://web-development-blog.de/x-frame-options/

Beitrag geändert von cyberman (29. August 2016 22:27)


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#3 28. August 2016 21:51

Janl
Server-Pate
Ort: Freistadt, Österreich
Registriert: 13. Dezember 2010
Beiträge: 1.053
Webseite

Re: Content Security Policy Header

Hallo Cyberman,

ich habe grade erfahren, dass "DENY" besser ersetzt wird mit "sameorigin", weil gerade in CMSMS dann einiges nicht mehr funktioniert.

Weiter sollte jeder gut kontrollieren, von wo Scripte nachgeladen werden
Zu das:

[== apache ==]
 Header set Content-Security-Policy "default-src 'self'; font-src 'self' [url]https://fonts.googleapis.com[/url];"

muss

[== htaccess ==]
 script-src 'self' 

und alle Sites, von denen Scripte geladen werden - das ist ein wenig suchen.

MfG
Jan

Beitrag geändert von Janl (28. August 2016 21:52)


Ubuntu 16.04 mit KDE - LAMP

Offline

#4 29. August 2016 22:34

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.825
Webseite

Re: Content Security Policy Header

Janl schrieb:

ich habe grade erfahren, dass "DENY" besser ersetzt wird mit "sameorigin", weil gerade in CMSMS dann einiges nicht mehr funktioniert.

Danke für den Hinweis - da es so essentiell für CMSMS ist, hab ich gleich mal die Beiträge hier oberhalb entsprechend angepasst.


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#5 29. August 2016 22:42

Janl
Server-Pate
Ort: Freistadt, Österreich
Registriert: 13. Dezember 2010
Beiträge: 1.053
Webseite

Re: Content Security Policy Header

Hallo Cyberman,

ich weiss nicht ob es ein Unterschied macht aber laut Dokumentation ist "sameorigin" klein geschrieben und DENY gross geschrieben.

MfG
Jan


Ubuntu 16.04 mit KDE - LAMP

Offline

#6 31. August 2016 07:14

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.825
Webseite

Re: Content Security Policy Header

Danke für den Hinweis - vermutlich scheint die Schreibweise egal zu sein. Hab es in verschiedenen Quellen mal groß und mal klein geschrieben gesehen ...


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline