Der Martin: HTTP Security-Header

Beitrag lesen

SELF-Forum

HTTP Security-Header

Der Martin
+2 Informationen zu den Bewertungsregeln

Hallo Einsiedler,

zur Zeit kümmere ich mich um den Schutz meiner websites, leider ist dies notwendig weil ein Paar Idioten es wohl lustig finden sie zu attackieren.

das wirft die Fragen auf: Was verstehst du unter Schutz, und wie sehen die Attacken aus?

Worauf ich hinaus will: Ein paar HTTP-Header zu setzen, bringt noch keinen Schutz. Weder gegen gezielte Angriffe, noch beispielsweise gegen einen unspezifischen DoS-Angriff. Das sind nur freundliche Aufforderungen an die Clients, doch bitte dies und das zu tun oder zu unterlassen.

## Mod Headers – Security
<IfModule mod_headers.c>
   Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
   Header set X-Content-Type-Options "nosniff"
   Header set X-XSS-Protection "1; mode=block"
   Header append X-Frame-Options "SAMEORIGIN"
   Header always edit Set-Cookie (.*) "$1; HttpOnly; Secure; SameSite=Strict"
   Header unset X-Powered-By
   Header unset Server
   Header set Referrer-Policy "no-referrer"
</IfModule>

Einige der Optionen bzw. der davon betroffenen Header kenne ich gar nicht. Den Server-Header und den X-Powered-By zu unterdrücken, ist vielleicht eine gute Idee, um nicht jedem gleich zu verraten, welcher Server und welche sonstige Software da so läuft. Aber Security by Obscurity war noch nie eine gute Idee (jedenfalls nicht für sich allein).

Oder fehlt da noch etwas? Bitte gebt mir mal Ratschläge!

Letztendlich ist es entscheidend, möglichst viele tatsächliche Angriffsvektoren zu eliminieren. Also keine Scripte einsetzen, die für gewissen Lücken bekannt sind wie ein bunter Hund, in den serverseitig laufenden Scripten generell keine Daten von außen unbesehen für bare Münze nehmen, dafür zu sorgen, dass die auf dem Server (der Maschine) laufende Software beim Bekanntwerden von Sicherheitslücken möglichst schnell aktualisiert wird. Das ist nicht nur deine Aufgabe, sondern auch die deines Hosters.

Eine Abfrage dort: https://securityheaders.com

bringt meine beiden Hauptseiten wenigstens auf den Level B, ein A wäre mir schon lieber. Also was fehlt dort?

Keine Ahnung. Aber nach der dürftigen Beschreibung dieses Dienstes prüft der auch nur auf das Vorhandensein möglichst vieler exotischer HTTP-Header. Das bringt aber noch keinen Mehrwert.
Es nützt ja auch nichts, wenn du an deiner Gartenlaube möglichst viele Reklame-Aufkleber von Chubb, ABUS, BKS und anderen Herstellern von Sicherheitsschlössern anbringst.

Live long and pros healthy,
 Martin

--
Ich stamme aus Ironien, einem Land am sarkastischen Ozean.
Beitrag melden
+2
Informationen zu den Bewertungsregeln
0 20

HTTP Security-Header

einsiedler
  • sicherheit
  1. 0
    Raketenwilli
    1. 0
      Walze
      1. 0
        Raketenwilli
        1. 0
          Walze
          1. 0
            Der Martin
          2. 0
            Raketenwilli
  2. 2
    Der Martin
    1. 0
      einsiedler
  3. 4
    Walze
    1. 0
      einsiedler
    2. 0
      einsiedler
      1. 4
        Walze
        1. 0
          einsiedler
          1. 1
            Walze
            1. 1
              Walze
              1. 0
                Tabellenkalk
              2. 0
                Der Martin
                • meinung
                • typografie
  4. 0
    TS
    • sicherheit
    • webserver
    1. 0
      einsiedler