• melojezzed

    (@melojezzed)


    Hallo zusammen,

    ist vielleicht eine komische Frage, aber ich stell sie einfach mal:

    ich habe mir mal diese Seite https://webbkoll.dataskydd.net, als Sicherheits-test-Seite abgespeichert. Nun gebe ich die Webseite ein, die ich gemacht habe und es wirkt so, als würde ich sehr viel falsch machen, weil ganz viel fehlt. Sind diese ganzen Sachen überhaupt notwendig? Ich habe dann versucht CSP über die functions.php einzubinden also durch eingabe von:

    header(„Content-Security-Policy: default-src ’none‘;“);

    aber das hat nix verändert am Ergebnis. Nun frage ich mich, was ist eigentlich erforderlich? Und was nicht?

    Vielen Dank fürs Feedback 🙂

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 2 Antworten – 1 bis 2 (von insgesamt 2)
  • Vereinfacht gesagt: Das macht deine Seite gegenüber speziellen Angriffen sicherer und sichert u.a., dass die Skripte auf deiner Seite nur Sachen aus dem Internet nachladen, welche du gestattest. Das anschaulichste Beispiel, was die Content Security Policy bei mir mal verhindert hat, war, dass ein Plugin Google-Fonts aus dem Netz laden wollte.

    Das gehört eigentlich zur Serverkonfiguration. Ich habe mich vor 2-3 Jahren mal damit beschäftigt, aber die Seite nicht veröffentlicht. Die Sache erscheint mir zu kompliziert, um sie für Hostingpakete zu verallgemeinern. Jeder Hoster hat eine andere Konfiguration und jede Website hat andere Anforderungen.

    Ich habe die Seite mal hervorgeholt: Es läuft im Prinzip immer noch so, allerdings habe ich, damit dieses Beispiel funktioniert, nun für die Permissions-Policy „geolocation=(’self‘)“ eingetragen. Das Beispiel fragt die Position des Besuchers ab.

    Es gibt auch ein Plugins, dazu kann ich nichts sagen. Ich bin auf Grund meiner Ausarbeitung jedoch skeptisch, dass es für jeden funktioniert.

    Ich habe lange überlegt, das hier zu schreiben, weil es doch sehr kompliziert ist und ich kann schlecht erklären. Andere können das viel besser.

    Moderator Michi91

    (@michi91)

    Mir gehts da wie @hupe13. Das Thema ist schon ziemlich „advanced“ und nicht mit dem einfachen aktivieren von Plugins erledigt. Diese Sicherheitsmaßnahmen haben Konsequenzen derer man sich bewussts ein muss. Aus meiner Sicht kann man sich das für einfache Webseiten sparen. Angriffe die z.B. durch HSTS verhindert würden, halte ich für unwahrscheinlich, weshalb ich HSTS bisher nur für einen meiner Kunden eingerichtet habe. Und der betreibt ne Plattform mit Lohndaten…

Ansicht von 2 Antworten – 1 bis 2 (von insgesamt 2)
  • Das Thema „CSP / HSTS / Referrer Policy / SRI / HTTP-Kopfzeilen“ ist für neue Antworten geschlossen.