Page 1 of 1
Standard Security Header
Posted: Thu 10. Feb 2022, 16:37
by fquadt
Hallo zusammen,
es gibt ja eine schöne Standardkonfiguration für die TLS/SSL Konfiguration des Apache Webservers. Das sorgt für ein gutes Ranking bei dem Audit von Qualys SSL Labs.
Leider schneidet die Standardkonfiguration nicht gut (F-Ranking) bei einem Test der Security Header von Apache ab, z.B. bei
https://securityheaders.com
Wäre es nicht sinnvoll - ähnlich der Standard-PHP-Einschränkungen - auch sinnvolle (bzw. vom Admin einstellbare) Standard Security Header für jede neue Domain in den zusätzlichen Apache Einstellungen zu hinterlegen? Diese kann man dann im Einzelfall pro Domain anpassen, aber man hat für jede Domain erst einmal eine gut Basiskonfiguration...
Viele Grüße
Florian Quadt
Re: Standard Security Header [GELÖST]
Posted: Fri 11. Feb 2022, 08:31
by Alexander
Hallo,
ich finde, diese Aufgabe obliegt dem Domaininhaber/Website-Betreiber. Die Header sollten immer individuell auf die Anforderungen der Website zugeschnitten sein, als dass sie von KeyHelp vorgegeben werden sollten (auch wenn es sich nur um einen überschreibbaren Standardsatz handeln sollte).
Dann ist eher die Verwunderung groß, wenn nach einem Websiten-Umzug etwas nicht funktioniert, weil plötzlich irgendwelche Header gesetzt sind.
Re: Standard Security Header
Posted: Fri 11. Feb 2022, 10:43
by 24unix
Alexander wrote: ↑Fri 11. Feb 2022, 08:31
Hallo,
ich finde, diese Aufgabe obliegt dem Domaininhaber/Website-Betreiber. Die Header sollten immer individuell auf die Anforderungen der Website zugeschnitten sein, als dass sie von KeyHelp vorgegeben werden sollten (auch wenn es sich nur um einen überschreibbaren Standardsatz handeln sollte).
Dann ist eher die Verwunderung groß, wenn nach einem Websiten-Umzug etwas nicht funktioniert, weil plötzlich irgendwelche Header gesetzt sind.
Ein sinnvoller Default wäre aber nicht verkehrt.
Viele kennen sich damit nicht aus, denken nicht dran, whatever.
Diese Seite hat auch nur ein D …
Re: Standard Security Header
Posted: Fri 11. Feb 2022, 11:04
by Tobi
Ich sehe das wie Alex.
Ein falscher Header und schon werden das CDN hosted jQuery und die Googlefonts nicht mehr geladen.
Re: Standard Security Header
Posted: Fri 11. Feb 2022, 11:47
by Alexander
Was wäre denn eurer Meinung nach ein sinnvoller default, der nicht 50% der Anwendungen, die sich die Leute so Tag ein Tag aus installieren funktional in irgendeiner Weise einschränken würde?
24unix wrote: ↑Fri 11. Feb 2022, 10:43
Diese Seite hat auch nur ein D …
Korrektur: A
Re: Standard Security Header
Posted: Fri 11. Feb 2022, 11:59
by ShortSnow
Hi, ein sinnvoller default? Vielleicht:
Code: Select all
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header set Content-Security-Policy "default-src https:"
Gruß Arne
Re: Standard Security Header
Posted: Fri 11. Feb 2022, 12:05
by Alexander
ShortSnow wrote: ↑Fri 11. Feb 2022, 11:59
Hi, ein sinnvoller default? Vielleicht:
Code: Select all
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header set Content-Security-Policy "default-src https:"
Gruß Arne
Hab ich einmal spaßeshalber auf Forum angewendet (was einem nahezu Standard phpBB3 entspricht) und löste laut Entwicklertools "44 Probleme" aus.
Das meine ich mit meinem oben gesagten. Die "X-Frame-Options" oder "X-Content-Type-Options" - vollkommen legitim/gut, aber sobald es an die "Content-Security-Policy" geht, sind Probleme vorprogrammiert.
Re: Standard Security Header
Posted: Fri 11. Feb 2022, 12:12
by ShortSnow
Ah, schade,
ich dachte das damit
Code: Select all
Header set Content-Security-Policy "default-src https:"
"lediglich" alle Resourcen mit https geladen werden müssen, was eigentlich standard sein sollte...
Re: Standard Security Header
Posted: Fri 11. Feb 2022, 12:16
by Alexander
ShortSnow wrote: ↑Fri 11. Feb 2022, 12:12
Ah, schade,
ich dachte das damit
Code: Select all
Header set Content-Security-Policy "default-src https:"
"lediglich" alle Resourcen mit https geladen werden müssen, was eigentlich standard sein sollte...
Ja, was bei dem genannten Eintrag jegliche inline Styles und Script-Anweisungen dann nicht mehr zulassen würde, und auch keine inline Bilder mit "data:..." etc.
Re: Standard Security Header
Posted: Fri 11. Feb 2022, 12:22
by ShortSnow
Alexander wrote: ↑Fri 11. Feb 2022, 08:31
Hallo,
ich finde, diese Aufgabe obliegt dem Domaininhaber/Website-Betreiber. Die Header sollten immer individuell auf die Anforderungen der Website zugeschnitten sein, als dass sie von KeyHelp vorgegeben werden sollten (auch wenn es sich nur um einen überschreibbaren Standardsatz handeln sollte).
Dann ist eher die Verwunderung groß, wenn nach einem Websiten-Umzug etwas nicht funktioniert, weil plötzlich irgendwelche Header gesetzt sind.
OK, doch die beste Idee!
Gruß Arne
Re: Standard Security Header
Posted: Sat 12. Feb 2022, 08:55
by space2place
24unix wrote: ↑Fri 11. Feb 2022, 10:43
Viele kennen sich damit nicht aus, denken nicht dran, whatever.
Meinst Du nicht das wir dann an dem Punkt sind, wo jemand der einen Server betreibt, sich damit auseinandersetzen muss?
Imho sollte es so aufgebaut sein das es ohne Probleme läuft und wenn man mehr will bietet KeyHelp genügend Möglichkeiten das anzupassen. Und wie schon geschrieben, entweder damit auseinandersetzen oder in Hände geben der weiß was er tut.
Re: Standard Security Header
Posted: Sat 12. Feb 2022, 10:26
by 24unix
space2place wrote: ↑Sat 12. Feb 2022, 08:55
24unix wrote: ↑Fri 11. Feb 2022, 10:43
Viele kennen sich damit nicht aus, denken nicht dran, whatever.
Meinst Du nicht das wir dann an dem Punkt sind, wo jemand der einen Server betreibt, sich damit auseinandersetzen muss?
Imho sollte es so aufgebaut sein das es ohne Probleme läuft und wenn man mehr will bietet KeyHelp genügend Möglichkeiten das anzupassen. Und wie schon geschrieben, entweder damit auseinandersetzen oder in Hände geben der weiß was er tut.
Schwierig.
Ich denke, viele Leute haben nicht unbedingt einen professionellen IT-Background, wollen aber aus diversen Gründen lieber selber hosten.
Flapsig könnte man sagen: Man braucht doch gar kein Panel, kann man sich selber mit ein paar Scripten basteln, muss sich halt damit befassen oder es in professionelle Hände geben.
Also, wie weit soll ein Panel unterstützen, wie viel Eigeninitiative soll es voraussetzen?
SPF und DKIM werden auch gesetzt. Warum dann nicht vergleichbares beim Apachen?
Re: Standard Security Header
Posted: Sat 12. Feb 2022, 12:35
by Jolinar
24unix wrote: ↑Sat 12. Feb 2022, 10:26
Ich denke, viele Leute haben nicht unbedingt einen professionellen IT-Background, wollen aber aus diversen Gründen lieber selber hosten.
Flapsig könnte man sagen: Man braucht doch gar kein Panel, kann man sich selber mit ein paar Scripten basteln, muss sich halt damit befassen oder es in professionelle Hände geben.
Also, wie weit soll ein Panel unterstützen, wie viel Eigeninitiative soll es voraussetzen?
Panels sind immer nur ein Hilfsmittel, um dem
versierten Admin die Arbeit zu erleichtern. Aber ein Panel, selbst wenn es eine eierlegende Wollmilchsau ist, ersetzt niemlas fundiertes Basiswissen!
Wer die Grundlagen der Serveradministration nicht beherrscht, sollte die Finger vom Selfhosting lasen und auf ein managed Produkt (Webspace oder managed Server) wechseln.
Die meisten Hobbyadmins und leider auch genug Profis sind sich ihrer rechtlichen Verantwortung garnicht bewußt. Wird eine Kiste gekapert und für illegale Zwecke mißbraucht, dann haftet grundsätzlich erstmal der Admin...Das kann im günstigsten Fall "nur" sehr teuer werden, im schlimmsten Fall hat man plötzlich viele neue "Freunde" bei den Strafermittlungsbehörden und muß sich mit strafrechtlichen Problemen herumschlagen.
24unix wrote: ↑Sat 12. Feb 2022, 10:26
SPF und DKIM werden auch gesetzt. Warum dann nicht vergleichbares beim Apachen?
SPF und DKIM sind fix auf den Mailserver ausgerichtet, während Webservermodifikationen sehr variabel und immer auf den speziellen Einsatzzweck zugeschnitten werden müssen.