Mehrfache Ausgabe der HSTS Headers [SOLVED]

[space2place]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Nicht 1005ig sicher, aber ich finde keinen anderen Grund dafür.


Server-Betriebssystem + Version
Debian 11


Eingesetzte Server-Virtualisierung-Technologie
KVM


KeyHelp-Version + Build-Nummer
24.1 (Build 3285)


Problembeschreibung / Fehlermeldungen
Bei einem PEN Test wurde festgestellt das die Webseite mehrfach HSTS Headers ausgibt


Erwartetes Ergebnis
Nur einmal die Ausgabe der HSTS Header, die für die Domain angegeben sind

Tatsächliches Ergebnis

Code: Select all

HTTP/1.1 200 OK
Date: Wed, 10 Jul 2024 10:44:30 GMT
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: deny
X-Content-Type-Options: nosniff
[...]
Strict-Transport-Security: max-age=15552000
Content-Length: 176555
Content-Type: text/html; charset=UTF-8
Server: Apache

Schritte zur Reproduktion
Webseite mit einem Let's Encrypt Zertifikat und einer Shopware Installation. HSTS = 180 Tage

Zusätzliche Informationen
Chrome Entwickertools:

hsts-headers.jpg (6.92 KiB) Viewed 4039 times

Ich bin leider jetzt etwas ratlos und hoffe auf einen Tip

Gruß
Sascha

[Tobi]

Bindet Webseite A vielleicht externe Ressourcen von Seite B ein?

[space2place]

Hi Tobi
Das muss ich morgen nochmal prüfen.
Die Max-age Values sind aber auf KeyHelp in den Configs vorhanden.
Einmal in der keyhelp.conf und der 2. Wert in der Vhost.conf

Die Seite wird durch htaccess abgesichert. Nur als zusätzliche Info.

Kann auch morgen die LIVE Seite prüfen ob dort das gleiche Problem existiert. Nur hier ist kein Let‘s Encrypt sondern ein gekauftes Zertifikat und auch keine Htaccess Absicherung

Gruß
Sascha

[space2place]

Ich nochmal. Das hat mir jetzt keine Ruhe gelassen.
Habe mir mal die LIVE Seite angesehen. Dort wird der Header auch 2mal ausgegegben.

Anschließend habe ich alle Dateien von Shopware nach "Strict-Transport-Security" durchsucht und bin tatsächlich fündig geworden.
In der Datei "vendor/shopware/core/Framework/Routing/CoreSubscriber.php" gibt es einen Eintrag:

Code: Select all

if ($event->getRequest()->isSecure()) {
      $response->headers->set('Strict-Transport-Security', 'max-age=31536000; includeSubDomains');
}

Und das ist genau der Eintrag der doppelt geliefert wird. In der keyhelp.conf fehlt "includeSubDomains". Somit schließe ich das aktuell aus.
Habe das jetzt erst einmal an den Kunden gegeben damit die Agentur sich das ansieht.

Gruß
Sascha

[24unix]

Hast Du es denn enabled?

[Tobi]

Shopware entwickelt sich definitiv Richtung Nextcloud
Früher war alles besser

[space2place]

Hast Du es denn enabled?

SCR-20240716-resv.png

Und was soll das bringen?
Ich habe 2 Header Ausgaben und es soll nur eine das sein. Damit erweitere ich doch nur die 2te Header Ausgabe mit "includeSubDomains"

[Tobi]

Vielleicht hilft es auch HSTS in KeyHelp zu deaktivieren?
Damit sollte dann nur noch der Shopware-Header gesetzt werden.

[space2place]

Vielleicht hilft es auch HSTS in KeyHelp zu deaktivieren?
Damit sollte dann nur noch der Shopware-Header gesetzt werden.

Ich habe die Agentur jetzt angeschrieben. Dort habe ich erst einmal meine Frage platziert. Auch das ich HSTS evtl. in KeyHelp deaktiviere, wenn Shopware das einfach so macht.

@Tobi
Kannst Du den Thread evtl. ins Off-Topic schieben. Es hat sich ja rausgestellt das es nichts mit KeyHelp selbst zu tun hat.

Gruß
Sascha

[24unix]

Hast Du es denn enabled?

SCR-20240716-resv.png

Und was soll das bringen?
Ich habe 2 Header Ausgaben und es soll nur eine das sein. Damit erweitere ich doch nur die 2te Header Ausgabe mit "includeSubDomains"

Wenn Du dann 2x die selbe hast, kannst Du eine deaktivieren, oder Du erhältst nur eine, weil die Werte identisch sind.
Wenn nicht, in KH oder ShopWare deaktivieren.

[Tobi]

Ich wüsste nicht, dass es in Shopware dafür einen Schalter gibt.

[24unix]

Ich wüsste nicht, dass es in Shopware dafür einen Schalter gibt.

Naja, nicht Schalter, aber hier: viewtopic.php?p=50134#p50134

ist da der Codeschnipsel, den man einfach auskommentieren kann.

[Tobi]

Ich wüsste nicht, dass es in Shopware dafür einen Schalter gibt.

Naja, nicht Schalter, aber hier: viewtopic.php?p=50134#p50134

ist da der Codeschnipsel, den man einfach auskommentieren kann.

Und du kannst abschätzen welche Auswirkungen das auf Betrieb, Funktion und Updates hat?
Bei einem produktiv genutzten Shop?

[24unix]

Ich wüsste nicht, dass es in Shopware dafür einen Schalter gibt.

Naja, nicht Schalter, aber hier: viewtopic.php?p=50134#p50134

ist da der Codeschnipsel, den man einfach auskommentieren kann.

Und du kannst abschätzen welche Auswirkungen das auf Betrieb, Funktion und Updates hat?

Ja, schon, das ist mein Job.

Bei einem produktiv genutzten Shop?

Das testet man im dev environment, in einem produktiven System hat man hoffentlich auch eine hohe Test-Coverage und natürlich eine CI/CD Pipeline, die alles checkt bevor es live geht.

Um sich den Stress zu ersparen das ganze updatesicher in ShopWare zu implementieren bietet es sich dann halt an, HSTS in KeyHelp zu deaktivieren. Dann wird der Header nur noch einmal gesetzt und das Problem sollte aus der Welt sein.

[space2place]

Ganz ehrlich. Du machst mal wieder auf einer wirklich kleinen Frage ein riesen Fass auf.
Ich wollte gar mehr drauf antworten und warten bis die Agentur bei mir melden.
Oben hast Du schon gar nicht richtig meinen Post gelesen:

Wenn Du dann 2x die selbe hast, kannst Du eine deaktivieren, oder Du erhältst nur eine, weil die Werte identisch sind.
Wenn nicht, in KH oder ShopWare deaktivieren.

Ich habe geschrieben:

Ich habe die Agentur jetzt angeschrieben. Dort habe ich erst einmal meine Frage platziert. Auch das ich HSTS evtl. in KeyHelp deaktiviere, wenn Shopware das einfach so macht.

Es ist nicht meine Aufgabe irgendwelchen Code anzupassen. Darum geht es hier auch nicht und keine Sau interessiert es hier ob Dur das mit einer CI/CD Pipeline machst.

Es ist manchmal sehr anstrengend, wenn Du Dich wie ein Gockel aufführst und zeigst wovon Du schon alles gelesen und gearbeitet hast.

Bleib doch einfach auf dem Teppich und schweif nicht immer direkt so aus.