WebsiteBaker Community Forum

WebsiteBaker Support (2.12.x) => General Help & Support => Hilfe & Support (deutsch) => Topic started by: evaki on September 22, 2018, 01:05:48 PM

Title: Security Headers (Check)
Post by: evaki on September 22, 2018, 01:05:48 PM

Security Headers

Template (Customize your options):
<?php
header ('Strict-Transport-Security: max-age=2592000; includeSubdomains');
header("Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'");
header("X-Content-Security-Policy: default-src 'self'; script-src 'self'");
header("X-WebKit-CSP: default-src 'self'; script-src 'self'");
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('X-Frame-Options: DENY');
header("Referrer-Policy: no-referrer");
header("Feature-Policy: vibrate 'self'; sync-xhr 'self' https://domain.tld");
?>
 
Check Security Headers:

Code: [Select]

https://securityheaders.com/
Reg./MfG. Evaki

Title: Re: Security Headers (Check)
Post by: dbs on September 22, 2018, 01:44:55 PM

Schöne Liste. Hatte das in der .htaccess.
Man sollte seine Seite danach ausgiebig testen, ob noch alles so läuft wie vorher.

Title: Re: Security Headers (Check)
Post by: evaki on September 22, 2018, 02:02:40 PM

Man sollte die benötigten Resourcen und deren Quelle kennen, insbesondere muß man zudem noch die diversen Dokus lesen (das dauert...), sonst kann's tatsächlich auch mal schiefgehen.  :cry:
Wer die DSGVO verinnerlicht hat, weiß ja woher was kommt, oder auch nicht...  :evil:

Mit der  .htaccess klappt das leider nicht bei jedem Hoster. Außerdem scheint mir das möglicherweise Konflikte zu produzieren -speziell CSP-, da davon dann auch das BE betroffen ist. Habe das aber nicht geprüft.
MfG. Evaki

Vielleicht nicht uninteressant: "HSTS Redirects; WWW to non-WWW and HTTP to HTTPS (https://www.sentinelstand.com/article/http-strict-transport-security-hsts-canonical-www-redirects)"

Title: Re: Security Headers (Check)
Post by: evaki on October 20, 2018, 04:49:22 PM

Noch ein wenig über TLS-Session-Tracking und z.B. HSTS.
Heise: Forscher warnen vor Tracking via TLS (https://www.heise.de/security/meldung/Forscher-warnen-vor-Tracking-via-TLS-4196781.html)
Uni Hamburg: Tracking Users across the Web via TLS Session Resumption (https://arxiv.org/pdf/1810.07304.pdf)
Website User Tracking-Prasil-Adam-thesis: F8-DP-2016-Prasil-Adam-thesis (https://dspace.cvut.cz/bitstream/handle/10467/62945/F8-DP-2016-Prasil-Adam-thesis.pdf)

MfG. Evaki