Security Headers -> D

  • Die meisten Websites sind auf Eng. bin froh wenn ich es auf deutsch verstehe. Da mrin Eng nur Schubladensprache ist, werde ich das Thematik nir verstehen.

    Meine Intension mit meinem Beitrag war es eigentlich das Thema in lockerer Atmosphäre zu besprechen. Um dann vielleicht zu einem Späteren Zeitpunkt, aus dieser Diskussion heraus, evtl. eine Standard Konfiguration bereitzustellen die der 08-15 Woltlab Admin ggf. nutzen könnte um zumindest ein gewisses Mindestmaß an Sicherheit zu erhalten.

    Aber du machst es einem echt nicht leicht...

    "Cigarettes are like squirrels...

    They're perfectly harmless until you put one in your mouth and light it on fire"

  • Meine Intension mit meinem Beitrag war es eigentlich das Thema in lockerer Atmosphäre zu besprechen. Um dann vielleicht zu einem Späteren Zeitpunkt, aus dieser Diskussion heraus, evtl. eine Standard Konfiguration bereitzustellen die der 08-15 Woltlab Admin ggf. nutzen könnte um zumindest ein gewisses Mindestmaß an Sicherheit zu erhalten.

    Aber du machst es einem echt nicht leicht...

    Wenn ich die Erfahrung dazu hätte, würde ich mich ja gerne zu einem Thema bereit erklären. Aber da ich mich 0 mit der Sache auskenne, brauche ich so nen "Standard" Konfiguration wie Du gesagt hast.

  • Wenn ich die Erfahrung dazu hätte, würde ich mich ja gerne zu einem Thema bereit erklären. Aber da ich mich 0 mit der Sache auskenne, brauche ich so nen "Standard" Konfiguration wie Du gesagt hast.

    Das Ziel dieser Diskussion sollte ja auch sein dass mit fortschreitenden Verlauf sich die Leute durch entsprechende Querverweise in das Thema einlesen können. Dabei ist es leider nicht zielführend wenn du, auf z.B. meinen Beitrag, einfach mit: "Ich brauche diese Standard-Konfiguration" antwortest.

    Niemand hat was dagegen wenn du hier Fragen stellst um dir das entsprechende Wissen anzueignen...

    Aber es gehört auch etwas an Initiative dazu....

    "Cigarettes are like squirrels...

    They're perfectly harmless until you put one in your mouth and light it on fire"

    Einmal editiert, zuletzt von doerek (17. April 2022 um 15:35)

  • Für mich geht es in erster Linie das ich alles auf grün habe, danach ist forschen an der Reihe.

    Um alles auf Gruen zu haben musst du verstehen wie die Headers funktionieren. Blindlinks Sachen zu kopieren und zu verwenden ohne Ahnung davon zu haben kann dich sonst wo hinbringen. Und Forschen ist doch aktuell an der Reihe, denn nichts anderes machst du ja gerade.

    Med venlig hilsen / Regards,

    Alex

  • Für mich geht es in erster Linie das ich alles auf grün habe, danach ist forschen an der Reihe.

    Und was bringt dir das?

    Also jetzt mal im ernst? Du kannst diese Header so setzen was diese keine Sicherheit Vorteil haben aber trotzdem auf Grün sind. Dann kann man diese auch gleich weglassen.

    Setzte diese Header lieber Schritt für Schritt nachdem du verstanden hast welche wo für sind und ignoriere irgendwelche Tools. Ich bezweifle das wegen diesen Tools/Webseiten man mehr Besucher auf seiner Webseite bekommt.

  • Für mich geht es in erster Linie das ich alles auf grün habe, danach ist forschen an der Reihe.

    Das ist aber falsch herum. Man setzt sich zuerst mit einer Thematik in der Theorie auseinander, um sie dann in der Praxis umzusetzen.

    Davon abgesehen: Was bringt es dir, da alles auf Grün zu haben? Wenn du nicht verstehst, was diese Header tun, hast du mit „alles auf Grün“ nichts gewonnen. Denn es geht nicht darum, ob einem irgendwelche Tools sagen, wie toll die eigene Website eingerichtet ist, sondern darum, wie es in der Realität aussieht.

  • Für mich geht es in erster Linie das ich alles auf grün habe, danach ist forschen an der Reihe.

    Tja...Was soll ich dazu sagen?

    Und für mich ging es darum meine "lernkurve" hier festhalten....(Könnte an mir liegen) aber mit so Kommentaren erlischt jegliche Motivation dieses Vorhaben in die Tat umzusetzen um evtl. auch anderen mit diesem Problem zu helfen....

    Ich bin raus...

    "Cigarettes are like squirrels...

    They're perfectly harmless until you put one in your mouth and light it on fire"

    • Offizieller Beitrag

    Hallo,

    ähnlich wie bei diesen ganzen Performance- und Caching-„Optimierungen“ über die .htaccess, die einem regelmäßig auf die Füße fallen, kann ich auch in Bezug auf diese Sicherheits-Header nur mit aller Deutlichkeit davon abraten, irgendwelche Änderungen an der .htaccess vorzunehmen, an die man sich spätestens in 2 Wochen nicht mehr erinnert und dann wundert, warum in der Zukunft irgendwas nicht mehr so funktioniert wie es soll. Insbesondere dann, wenn die Header nur deshalb gesetzt werden, um eine automatische Prüfsoftware zu befriedigen.

    Unsere Software setzt entsprechende Header, so weit sinnvoll und praktikabel, bereits von Haus aus. Einzige Ausnahme ist der strict-transport-security-Header, den man sinnvoll selbstständig setzen kann/muss (und auch setzen sollte).

  • Das weist den Browser an, die Website nur noch per HTTPS aufzurufen, und speichert diesen Wert für 365 Tage.

    Beziehen sich die 365 Tage auf das Zertifikat? Müsste man bei Lets Encrypt die 90 Tage berücksichtigen?

    Edit:

    Sollte man X-XSS-Protection im Header mit angeben oder wäre es ein Nachteil? Zumindest ist auf kittmedia.com 1; mode=block hinterlegt, während bei woltlab.com nichts dazu angegeben wurde.

    xBlackEye

    Einmal editiert, zuletzt von xBlackEye (28. Februar 2023 um 09:01)

    • Offizieller Beitrag

    Hallo,

    Beziehen sich die 365 Tage auf das Zertifikat? Müsste man bei Lets Encrypt die 90 Tage berücksichtigen?

    Die 365 Tage sagen, dass du versprichst, dass deine Seite für die nächsten 365 Tage in die Zukunft zu jedem Zeitpunkt ein gültiges Zertifikat haben wird. Über die Laufzeit eines einzelnen Zertifikats sagt das nichts aus.

    Sollte man X-XSS-Protection im Header mit angeben oder wäre es ein Nachteil? Zumindest ist auf kittmedia.com 1; mode=block hinterlegt, während bei woltlab.com nichts dazu angegeben wurde.

    Das ist mittlerweile aus den meisten Webbrowsern komplett rausgeflogen und war auch zuvor von fragwürdigem Mehrwert. Wir haben es daher rausgeschmissen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!