Standard Security Header  [GELÖST]

Locked
fquadt
Posts: 1
Joined: Tue 19. Feb 2019, 16:15

Standard Security Header

Post by fquadt »

Hallo zusammen,

es gibt ja eine schöne Standardkonfiguration für die TLS/SSL Konfiguration des Apache Webservers. Das sorgt für ein gutes Ranking bei dem Audit von Qualys SSL Labs.

Leider schneidet die Standardkonfiguration nicht gut (F-Ranking) bei einem Test der Security Header von Apache ab, z.B. bei https://securityheaders.com

Wäre es nicht sinnvoll - ähnlich der Standard-PHP-Einschränkungen - auch sinnvolle (bzw. vom Admin einstellbare) Standard Security Header für jede neue Domain in den zusätzlichen Apache Einstellungen zu hinterlegen? Diese kann man dann im Einzelfall pro Domain anpassen, aber man hat für jede Domain erst einmal eine gut Basiskonfiguration...

Viele Grüße

Florian Quadt
User avatar
Alexander
Keyweb AG
Posts: 3813
Joined: Wed 20. Jan 2016, 02:23

Re: Standard Security Header  [GELÖST]

Post by Alexander »

Hallo,

ich finde, diese Aufgabe obliegt dem Domaininhaber/Website-Betreiber. Die Header sollten immer individuell auf die Anforderungen der Website zugeschnitten sein, als dass sie von KeyHelp vorgegeben werden sollten (auch wenn es sich nur um einen überschreibbaren Standardsatz handeln sollte).
Dann ist eher die Verwunderung groß, wenn nach einem Websiten-Umzug etwas nicht funktioniert, weil plötzlich irgendwelche Header gesetzt sind.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Standard Security Header

Post by 24unix »

Alexander wrote: Fri 11. Feb 2022, 08:31 Hallo,

ich finde, diese Aufgabe obliegt dem Domaininhaber/Website-Betreiber. Die Header sollten immer individuell auf die Anforderungen der Website zugeschnitten sein, als dass sie von KeyHelp vorgegeben werden sollten (auch wenn es sich nur um einen überschreibbaren Standardsatz handeln sollte).
Dann ist eher die Verwunderung groß, wenn nach einem Websiten-Umzug etwas nicht funktioniert, weil plötzlich irgendwelche Header gesetzt sind.
Ein sinnvoller Default wäre aber nicht verkehrt.

Viele kennen sich damit nicht aus, denken nicht dran, whatever.

Diese Seite hat auch nur ein D …
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Tobi
Community Moderator
Posts: 2813
Joined: Thu 5. Jan 2017, 13:24

Re: Standard Security Header

Post by Tobi »

Ich sehe das wie Alex.
Ein falscher Header und schon werden das CDN hosted jQuery und die Googlefonts nicht mehr geladen.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
Alexander
Keyweb AG
Posts: 3813
Joined: Wed 20. Jan 2016, 02:23

Re: Standard Security Header

Post by Alexander »

Was wäre denn eurer Meinung nach ein sinnvoller default, der nicht 50% der Anwendungen, die sich die Leute so Tag ein Tag aus installieren funktional in irgendeiner Weise einschränken würde?

24unix wrote: Fri 11. Feb 2022, 10:43 Diese Seite hat auch nur ein D …
Korrektur: A ;)
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: Standard Security Header

Post by ShortSnow »

Hi, ein sinnvoller default? Vielleicht:

Code: Select all

Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header set Content-Security-Policy "default-src https:"
Gruß Arne
User avatar
Alexander
Keyweb AG
Posts: 3813
Joined: Wed 20. Jan 2016, 02:23

Re: Standard Security Header

Post by Alexander »

ShortSnow wrote: Fri 11. Feb 2022, 11:59 Hi, ein sinnvoller default? Vielleicht:

Code: Select all

Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header set Content-Security-Policy "default-src https:"
Gruß Arne
Hab ich einmal spaßeshalber auf Forum angewendet (was einem nahezu Standard phpBB3 entspricht) und löste laut Entwicklertools "44 Probleme" aus.
Das meine ich mit meinem oben gesagten. Die "X-Frame-Options" oder "X-Content-Type-Options" - vollkommen legitim/gut, aber sobald es an die "Content-Security-Policy" geht, sind Probleme vorprogrammiert.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: Standard Security Header

Post by ShortSnow »

Ah, schade,

ich dachte das damit

Code: Select all

Header set Content-Security-Policy "default-src https:"
"lediglich" alle Resourcen mit https geladen werden müssen, was eigentlich standard sein sollte... :D
User avatar
Alexander
Keyweb AG
Posts: 3813
Joined: Wed 20. Jan 2016, 02:23

Re: Standard Security Header

Post by Alexander »

ShortSnow wrote: Fri 11. Feb 2022, 12:12 Ah, schade,

ich dachte das damit

Code: Select all

Header set Content-Security-Policy "default-src https:"
"lediglich" alle Resourcen mit https geladen werden müssen, was eigentlich standard sein sollte... :D
Ja, was bei dem genannten Eintrag jegliche inline Styles und Script-Anweisungen dann nicht mehr zulassen würde, und auch keine inline Bilder mit "data:..." etc.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: Standard Security Header

Post by ShortSnow »

Alexander wrote: Fri 11. Feb 2022, 08:31 Hallo,

ich finde, diese Aufgabe obliegt dem Domaininhaber/Website-Betreiber. Die Header sollten immer individuell auf die Anforderungen der Website zugeschnitten sein, als dass sie von KeyHelp vorgegeben werden sollten (auch wenn es sich nur um einen überschreibbaren Standardsatz handeln sollte).
Dann ist eher die Verwunderung groß, wenn nach einem Websiten-Umzug etwas nicht funktioniert, weil plötzlich irgendwelche Header gesetzt sind.
OK, doch die beste Idee! :mrgreen: :mrgreen: :mrgreen:

Gruß Arne
User avatar
space2place
Posts: 486
Joined: Tue 24. Mar 2020, 11:02
Contact:

Re: Standard Security Header

Post by space2place »

24unix wrote: Fri 11. Feb 2022, 10:43
Viele kennen sich damit nicht aus, denken nicht dran, whatever.
Meinst Du nicht das wir dann an dem Punkt sind, wo jemand der einen Server betreibt, sich damit auseinandersetzen muss?
Imho sollte es so aufgebaut sein das es ohne Probleme läuft und wenn man mehr will bietet KeyHelp genügend Möglichkeiten das anzupassen. Und wie schon geschrieben, entweder damit auseinandersetzen oder in Hände geben der weiß was er tut.
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Standard Security Header

Post by 24unix »

space2place wrote: Sat 12. Feb 2022, 08:55
24unix wrote: Fri 11. Feb 2022, 10:43
Viele kennen sich damit nicht aus, denken nicht dran, whatever.
Meinst Du nicht das wir dann an dem Punkt sind, wo jemand der einen Server betreibt, sich damit auseinandersetzen muss?
Imho sollte es so aufgebaut sein das es ohne Probleme läuft und wenn man mehr will bietet KeyHelp genügend Möglichkeiten das anzupassen. Und wie schon geschrieben, entweder damit auseinandersetzen oder in Hände geben der weiß was er tut.
Schwierig.
Ich denke, viele Leute haben nicht unbedingt einen professionellen IT-Background, wollen aber aus diversen Gründen lieber selber hosten.

Flapsig könnte man sagen: Man braucht doch gar kein Panel, kann man sich selber mit ein paar Scripten basteln, muss sich halt damit befassen oder es in professionelle Hände geben.

Also, wie weit soll ein Panel unterstützen, wie viel Eigeninitiative soll es voraussetzen?

SPF und DKIM werden auch gesetzt. Warum dann nicht vergleichbares beim Apachen?
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Standard Security Header

Post by Jolinar »

24unix wrote: Sat 12. Feb 2022, 10:26 Ich denke, viele Leute haben nicht unbedingt einen professionellen IT-Background, wollen aber aus diversen Gründen lieber selber hosten.

Flapsig könnte man sagen: Man braucht doch gar kein Panel, kann man sich selber mit ein paar Scripten basteln, muss sich halt damit befassen oder es in professionelle Hände geben.

Also, wie weit soll ein Panel unterstützen, wie viel Eigeninitiative soll es voraussetzen?
Panels sind immer nur ein Hilfsmittel, um dem versierten Admin die Arbeit zu erleichtern. Aber ein Panel, selbst wenn es eine eierlegende Wollmilchsau ist, ersetzt niemlas fundiertes Basiswissen!
Wer die Grundlagen der Serveradministration nicht beherrscht, sollte die Finger vom Selfhosting lasen und auf ein managed Produkt (Webspace oder managed Server) wechseln.
Die meisten Hobbyadmins und leider auch genug Profis sind sich ihrer rechtlichen Verantwortung garnicht bewußt. Wird eine Kiste gekapert und für illegale Zwecke mißbraucht, dann haftet grundsätzlich erstmal der Admin...Das kann im günstigsten Fall "nur" sehr teuer werden, im schlimmsten Fall hat man plötzlich viele neue "Freunde" bei den Strafermittlungsbehörden und muß sich mit strafrechtlichen Problemen herumschlagen.

24unix wrote: Sat 12. Feb 2022, 10:26 SPF und DKIM werden auch gesetzt. Warum dann nicht vergleichbares beim Apachen?
SPF und DKIM sind fix auf den Mailserver ausgerichtet, während Webservermodifikationen sehr variabel und immer auf den speziellen Einsatzzweck zugeschnitten werden müssen.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
Locked