WebsiteBaker Community Forum
WebsiteBaker Support (2.12.x) => General Help & Support => Hilfe & Support (deutsch) => Topic started by: evaki on September 22, 2018, 01:05:48 PM
-
Security Headers
Template (Customize your options):
<?php
header ('Strict-Transport-Security: max-age=2592000; includeSubdomains');
header("Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'");
header("X-Content-Security-Policy: default-src 'self'; script-src 'self'");
header("X-WebKit-CSP: default-src 'self'; script-src 'self'");
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('X-Frame-Options: DENY');
header("Referrer-Policy: no-referrer");
header("Feature-Policy: vibrate 'self'; sync-xhr 'self' https://domain.tld");
?>
Check Security Headers: https://securityheaders.com/
Reg./MfG. Evaki
-
Schöne Liste. Hatte das in der .htaccess.
Man sollte seine Seite danach ausgiebig testen, ob noch alles so läuft wie vorher.
-
Man sollte die benötigten Resourcen und deren Quelle kennen, insbesondere muß man zudem noch die diversen Dokus lesen (das dauert...), sonst kann's tatsächlich auch mal schiefgehen. :cry:
Wer die DSGVO verinnerlicht hat, weiß ja woher was kommt, oder auch nicht... :evil:
Mit der .htaccess klappt das leider nicht bei jedem Hoster. Außerdem scheint mir das möglicherweise Konflikte zu produzieren -speziell CSP-, da davon dann auch das BE betroffen ist. Habe das aber nicht geprüft.
MfG. Evaki
Vielleicht nicht uninteressant: "HSTS Redirects; WWW to non-WWW and HTTP to HTTPS (https://www.sentinelstand.com/article/http-strict-transport-security-hsts-canonical-www-redirects)"
-
Noch ein wenig über TLS-Session-Tracking und z.B. HSTS.
Heise: Forscher warnen vor Tracking via TLS (https://www.heise.de/security/meldung/Forscher-warnen-vor-Tracking-via-TLS-4196781.html)
Uni Hamburg: Tracking Users across the Web via TLS Session Resumption (https://arxiv.org/pdf/1810.07304.pdf)
Website User Tracking-Prasil-Adam-thesis: F8-DP-2016-Prasil-Adam-thesis (https://dspace.cvut.cz/bitstream/handle/10467/62945/F8-DP-2016-Prasil-Adam-thesis.pdf)
MfG. Evaki