Standard Security Header [GELÖST]
Standard Security Header
Hallo zusammen,
es gibt ja eine schöne Standardkonfiguration für die TLS/SSL Konfiguration des Apache Webservers. Das sorgt für ein gutes Ranking bei dem Audit von Qualys SSL Labs.
Leider schneidet die Standardkonfiguration nicht gut (F-Ranking) bei einem Test der Security Header von Apache ab, z.B. bei https://securityheaders.com
Wäre es nicht sinnvoll - ähnlich der Standard-PHP-Einschränkungen - auch sinnvolle (bzw. vom Admin einstellbare) Standard Security Header für jede neue Domain in den zusätzlichen Apache Einstellungen zu hinterlegen? Diese kann man dann im Einzelfall pro Domain anpassen, aber man hat für jede Domain erst einmal eine gut Basiskonfiguration...
Viele Grüße
Florian Quadt
es gibt ja eine schöne Standardkonfiguration für die TLS/SSL Konfiguration des Apache Webservers. Das sorgt für ein gutes Ranking bei dem Audit von Qualys SSL Labs.
Leider schneidet die Standardkonfiguration nicht gut (F-Ranking) bei einem Test der Security Header von Apache ab, z.B. bei https://securityheaders.com
Wäre es nicht sinnvoll - ähnlich der Standard-PHP-Einschränkungen - auch sinnvolle (bzw. vom Admin einstellbare) Standard Security Header für jede neue Domain in den zusätzlichen Apache Einstellungen zu hinterlegen? Diese kann man dann im Einzelfall pro Domain anpassen, aber man hat für jede Domain erst einmal eine gut Basiskonfiguration...
Viele Grüße
Florian Quadt
Re: Standard Security Header [GELÖST]
Hallo,
ich finde, diese Aufgabe obliegt dem Domaininhaber/Website-Betreiber. Die Header sollten immer individuell auf die Anforderungen der Website zugeschnitten sein, als dass sie von KeyHelp vorgegeben werden sollten (auch wenn es sich nur um einen überschreibbaren Standardsatz handeln sollte).
Dann ist eher die Verwunderung groß, wenn nach einem Websiten-Umzug etwas nicht funktioniert, weil plötzlich irgendwelche Header gesetzt sind.
ich finde, diese Aufgabe obliegt dem Domaininhaber/Website-Betreiber. Die Header sollten immer individuell auf die Anforderungen der Website zugeschnitten sein, als dass sie von KeyHelp vorgegeben werden sollten (auch wenn es sich nur um einen überschreibbaren Standardsatz handeln sollte).
Dann ist eher die Verwunderung groß, wenn nach einem Websiten-Umzug etwas nicht funktioniert, weil plötzlich irgendwelche Header gesetzt sind.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Standard Security Header
Ein sinnvoller Default wäre aber nicht verkehrt.Alexander wrote: ↑Fri 11. Feb 2022, 08:31 Hallo,
ich finde, diese Aufgabe obliegt dem Domaininhaber/Website-Betreiber. Die Header sollten immer individuell auf die Anforderungen der Website zugeschnitten sein, als dass sie von KeyHelp vorgegeben werden sollten (auch wenn es sich nur um einen überschreibbaren Standardsatz handeln sollte).
Dann ist eher die Verwunderung groß, wenn nach einem Websiten-Umzug etwas nicht funktioniert, weil plötzlich irgendwelche Header gesetzt sind.
Viele kennen sich damit nicht aus, denken nicht dran, whatever.
Diese Seite hat auch nur ein D …
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
Re: Standard Security Header
Ich sehe das wie Alex.
Ein falscher Header und schon werden das CDN hosted jQuery und die Googlefonts nicht mehr geladen.
Ein falscher Header und schon werden das CDN hosted jQuery und die Googlefonts nicht mehr geladen.
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Re: Standard Security Header
Was wäre denn eurer Meinung nach ein sinnvoller default, der nicht 50% der Anwendungen, die sich die Leute so Tag ein Tag aus installieren funktional in irgendeiner Weise einschränken würde?
Korrektur: A
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Standard Security Header
Hi, ein sinnvoller default? Vielleicht:
Gruß Arne
Code: Select all
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header set Content-Security-Policy "default-src https:"
Re: Standard Security Header
Hab ich einmal spaßeshalber auf Forum angewendet (was einem nahezu Standard phpBB3 entspricht) und löste laut Entwicklertools "44 Probleme" aus.ShortSnow wrote: ↑Fri 11. Feb 2022, 11:59 Hi, ein sinnvoller default? Vielleicht:
Gruß ArneCode: Select all
Header always set X-Frame-Options "SAMEORIGIN" Header always set X-Content-Type-Options "nosniff" Header set Content-Security-Policy "default-src https:"
Das meine ich mit meinem oben gesagten. Die "X-Frame-Options" oder "X-Content-Type-Options" - vollkommen legitim/gut, aber sobald es an die "Content-Security-Policy" geht, sind Probleme vorprogrammiert.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Standard Security Header
Ah, schade,
ich dachte das damit "lediglich" alle Resourcen mit https geladen werden müssen, was eigentlich standard sein sollte...
ich dachte das damit
Code: Select all
Header set Content-Security-Policy "default-src https:"
Re: Standard Security Header
Ja, was bei dem genannten Eintrag jegliche inline Styles und Script-Anweisungen dann nicht mehr zulassen würde, und auch keine inline Bilder mit "data:..." etc.ShortSnow wrote: ↑Fri 11. Feb 2022, 12:12 Ah, schade,
ich dachte das damit"lediglich" alle Resourcen mit https geladen werden müssen, was eigentlich standard sein sollte...Code: Select all
Header set Content-Security-Policy "default-src https:"
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Standard Security Header
OK, doch die beste Idee!Alexander wrote: ↑Fri 11. Feb 2022, 08:31 Hallo,
ich finde, diese Aufgabe obliegt dem Domaininhaber/Website-Betreiber. Die Header sollten immer individuell auf die Anforderungen der Website zugeschnitten sein, als dass sie von KeyHelp vorgegeben werden sollten (auch wenn es sich nur um einen überschreibbaren Standardsatz handeln sollte).
Dann ist eher die Verwunderung groß, wenn nach einem Websiten-Umzug etwas nicht funktioniert, weil plötzlich irgendwelche Header gesetzt sind.
Gruß Arne
- space2place
- Posts: 494
- Joined: Tue 24. Mar 2020, 11:02
- Contact:
Re: Standard Security Header
Meinst Du nicht das wir dann an dem Punkt sind, wo jemand der einen Server betreibt, sich damit auseinandersetzen muss?
Imho sollte es so aufgebaut sein das es ohne Probleme läuft und wenn man mehr will bietet KeyHelp genügend Möglichkeiten das anzupassen. Und wie schon geschrieben, entweder damit auseinandersetzen oder in Hände geben der weiß was er tut.
i-MSCP => KeyHelp Migration: https://github.com/TheCry/i-mscp-keyhelp-migration
Re: Standard Security Header
Schwierig.space2place wrote: ↑Sat 12. Feb 2022, 08:55Meinst Du nicht das wir dann an dem Punkt sind, wo jemand der einen Server betreibt, sich damit auseinandersetzen muss?
Imho sollte es so aufgebaut sein das es ohne Probleme läuft und wenn man mehr will bietet KeyHelp genügend Möglichkeiten das anzupassen. Und wie schon geschrieben, entweder damit auseinandersetzen oder in Hände geben der weiß was er tut.
Ich denke, viele Leute haben nicht unbedingt einen professionellen IT-Background, wollen aber aus diversen Gründen lieber selber hosten.
Flapsig könnte man sagen: Man braucht doch gar kein Panel, kann man sich selber mit ein paar Scripten basteln, muss sich halt damit befassen oder es in professionelle Hände geben.
Also, wie weit soll ein Panel unterstützen, wie viel Eigeninitiative soll es voraussetzen?
SPF und DKIM werden auch gesetzt. Warum dann nicht vergleichbares beim Apachen?
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
- Jolinar
- Community Moderator
- Posts: 3612
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Standard Security Header
Panels sind immer nur ein Hilfsmittel, um dem versierten Admin die Arbeit zu erleichtern. Aber ein Panel, selbst wenn es eine eierlegende Wollmilchsau ist, ersetzt niemlas fundiertes Basiswissen!24unix wrote: ↑Sat 12. Feb 2022, 10:26 Ich denke, viele Leute haben nicht unbedingt einen professionellen IT-Background, wollen aber aus diversen Gründen lieber selber hosten.
Flapsig könnte man sagen: Man braucht doch gar kein Panel, kann man sich selber mit ein paar Scripten basteln, muss sich halt damit befassen oder es in professionelle Hände geben.
Also, wie weit soll ein Panel unterstützen, wie viel Eigeninitiative soll es voraussetzen?
Wer die Grundlagen der Serveradministration nicht beherrscht, sollte die Finger vom Selfhosting lasen und auf ein managed Produkt (Webspace oder managed Server) wechseln.
Die meisten Hobbyadmins und leider auch genug Profis sind sich ihrer rechtlichen Verantwortung garnicht bewußt. Wird eine Kiste gekapert und für illegale Zwecke mißbraucht, dann haftet grundsätzlich erstmal der Admin...Das kann im günstigsten Fall "nur" sehr teuer werden, im schlimmsten Fall hat man plötzlich viele neue "Freunde" bei den Strafermittlungsbehörden und muß sich mit strafrechtlichen Problemen herumschlagen.
SPF und DKIM sind fix auf den Mailserver ausgerichtet, während Webservermodifikationen sehr variabel und immer auf den speziellen Einsatzzweck zugeschnitten werden müssen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views