Ich checke die Websites meiner Kunden gerade für die DSGVO auf ihre technische Sicherheit. Was auf allen Websites richtig schlecht ist, sind die HTTP Header. SIWECOS* empfiehlt folgende Einstellungen für die .htaccess Datei:
#START HTTP Security Header #Content Security Policy - CSP-HEADER # Lade Inhalte nur von Seiten die explizit erlaubt sind # Beispiel: Alles von der eigenen Domain erlauben, keine Externas: Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; object-src 'self'; script-src 'self'; style-src 'self';" #HTTP Content-Types AddCharset UTF-8 .html #Public Key Pins Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains" #Strict-Transport-Security Header set Strict-Transport-Security "max-age=31536000; includeSubDomains" #X-Content-Type-Options Header always set X-Content-Type-Options "nosniff" #X-Frame-Options Header always set X-Frame-Options "SAMEORIGIN" #X-Xss-Protection Header always set X-Xss-Protection "1; mode=block" #Referrer-Policy Header set Referrer-Policy "strict-origin" #END HTTP Security Header
Aufpassen bei dem ersten Block (CSP-Header)! Den müsst ihr anpassen oder raus nehmen, sonst funktioniert eure Website nicht mehr. Unter diesem Link könnt ihr euren CSP-Header generieren: https://report-uri.com/home/generate
Am besten diese Vorlage so lange anpassen und bei SIWECOS testen, bis es passt.
*SIWECOS ist ein kostenloser Dienst zum Website-Monitoring und sehr zu empfehlen. Weitere Infos unter https://siwecos.de
3 Antworten
Toller Beitrag, HTTP Header werden in der IT-Sicherheit extrem unterschätzt und sollten eigentlich bei jedem Webprojekt geprüft werden.
Hier findet meines Erachtens immer die größte Manipulation beim Nutzer statt, aber die wenigsten Unternehmen schützen ausreichend.
Sicherheitstips geben aber selber über plugins spionieren…
Hi, klär mich doch bitte mal auf: welches Plugin schnüffelt?