Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 27. August 2016 13:56

Janl
Server-Pate
Ort: Freistadt, Österreich
Registriert: 13. Dezember 2010
Beiträge: 1.231
Webseite

Content Security Policy Header

Wer von uns nutzt das schon?

Mozilla hat ein Tool veröffentlicht, wo man nachsehen kann, wie es mit der Sicherheit von Webseiten steht.

http://www.heise.de/newsticker/meldung/ … 06197.html

Ich habe es weiter ausprobiert, es macht durchaus Sinn.

Erstens braucht man HTTPS. Dann folgende HTTPS Anweisungen für Apache in Plesk

[== apache ==]
Header always add Strict-Transport-Security max-age=15768000;includeSubDomains;preload
Header always set X-Frame-Options: SAMEORIGIN
Header always set X-Content-Type-Options: nosniff

Und dann in der htaccess

[== htaccess ==]
<IfModule mod_headers.c>
  Header set X-Content-Type-Options nosniff
  Header set X-XSS-Protection "1; mode=block"
  Header set Content-Security-Policy "default-src 'self'; font-src 'self' https://fonts.googleapis.com;"
</IfModule>

Beachtet, dass es meine Einstellungen sind, sucht im Internet die verschiedene Einstellungen für jede Zeile, es gibt viele Möglichkeiten.

MfG
Jan

Beitrag geändert von Janl (28. August 2016 00:10)


Kubuntu 22.04 - Win 11 pro / Kubuntu 20.04  - win10 pro

Offline

#2 28. August 2016 21:32

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Content Security Policy Header

Janl schrieb:

Mozilla hat ein Tool veröffentlicht, wo man nachsehen kann, wie es mit der Sicherheit von Webseiten steht.

http://www.heise.de/newsticker/meldung/ … 06197.html

Danke dir für den Beitrag. Hatte dies auch gelesen und für einen Repost hier vorgesehen wink.

Das Tool namens Observatory findet ihr hier

https://observatory.mozilla.org/

Janl schrieb:

Dann folgende HTTPS Anweisungen für Apache in Plesk

[== apache ==]
Header always add Strict-Transport-Security max-age=15768000;includeSubDomains;preload
Header always set X-Frame-Options: SAMEORIGIN
Header always set X-Content-Type-Options: nosniff

Da nicht alle Hoster Plesk-Zugriff anbieten, lässt sich auch dieser Teil via .htaccess erledigen wink

Header set Strict-Transport-Security "max-age=31556926, includeSubDomains"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options "nosniff"

http://www.guntiahoster.de/blog/2013/al … icherheit/
http://web-development-blog.de/x-frame-options/

Beitrag geändert von Andynium (29. August 2016 22:27)

Offline

#3 28. August 2016 21:51

Janl
Server-Pate
Ort: Freistadt, Österreich
Registriert: 13. Dezember 2010
Beiträge: 1.231
Webseite

Re: Content Security Policy Header

Hallo Cyberman,

ich habe grade erfahren, dass "DENY" besser ersetzt wird mit "sameorigin", weil gerade in CMSMS dann einiges nicht mehr funktioniert.

Weiter sollte jeder gut kontrollieren, von wo Scripte nachgeladen werden
Zu das:

[== apache ==]
 Header set Content-Security-Policy "default-src 'self'; font-src 'self' [url]https://fonts.googleapis.com[/url];"

muss

[== htaccess ==]
 script-src 'self' 

und alle Sites, von denen Scripte geladen werden - das ist ein wenig suchen.

MfG
Jan

Beitrag geändert von Janl (28. August 2016 21:52)


Kubuntu 22.04 - Win 11 pro / Kubuntu 20.04  - win10 pro

Offline

#4 29. August 2016 22:34

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Content Security Policy Header

Janl schrieb:

ich habe grade erfahren, dass "DENY" besser ersetzt wird mit "sameorigin", weil gerade in CMSMS dann einiges nicht mehr funktioniert.

Danke für den Hinweis - da es so essentiell für CMSMS ist, hab ich gleich mal die Beiträge hier oberhalb entsprechend angepasst.

Offline

#5 29. August 2016 22:42

Janl
Server-Pate
Ort: Freistadt, Österreich
Registriert: 13. Dezember 2010
Beiträge: 1.231
Webseite

Re: Content Security Policy Header

Hallo Cyberman,

ich weiss nicht ob es ein Unterschied macht aber laut Dokumentation ist "sameorigin" klein geschrieben und DENY gross geschrieben.

MfG
Jan


Kubuntu 22.04 - Win 11 pro / Kubuntu 20.04  - win10 pro

Offline

#6 31. August 2016 07:14

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Content Security Policy Header

Danke für den Hinweis - vermutlich scheint die Schreibweise egal zu sein. Hab es in verschiedenen Quellen mal groß und mal klein geschrieben gesehen ...

Offline