Security Headers
Template (Customize your options):
<?php
header ('Strict-Transport-Security: max-age=2592000; includeSubdomains');
header("Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'");
header("X-Content-Security-Policy: default-src 'self'; script-src 'self'");
header("X-WebKit-CSP: default-src 'self'; script-src 'self'");
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('X-Frame-Options: DENY');
header("Referrer-Policy: no-referrer");
header("Feature-Policy: vibrate 'self'; sync-xhr 'self' https://domain.tld");
?>
Check Security Headers: https://securityheaders.com/
Reg./MfG. Evaki
Schöne Liste. Hatte das in der .htaccess.
Man sollte seine Seite danach ausgiebig testen, ob noch alles so läuft wie vorher.
Man sollte die benötigten Resourcen und deren Quelle kennen, insbesondere muß man zudem noch die diversen Dokus lesen (das dauert...), sonst kann's tatsächlich auch mal schiefgehen. :cry:
Wer die DSGVO verinnerlicht hat, weiß ja woher was kommt, oder auch nicht... :evil:
Mit der .htaccess klappt das leider nicht bei jedem Hoster. Außerdem scheint mir das möglicherweise Konflikte zu produzieren -speziell CSP-, da davon dann auch das BE betroffen ist. Habe das aber nicht geprüft.
MfG. Evaki
Vielleicht nicht uninteressant: "HSTS Redirects; WWW to non-WWW and HTTP to HTTPS (https://www.sentinelstand.com/article/http-strict-transport-security-hsts-canonical-www-redirects)"
Noch ein wenig über TLS-Session-Tracking und z.B. HSTS.
Heise: Forscher warnen vor Tracking via TLS (https://www.heise.de/security/meldung/Forscher-warnen-vor-Tracking-via-TLS-4196781.html)
Uni Hamburg: Tracking Users across the Web via TLS Session Resumption (https://arxiv.org/pdf/1810.07304.pdf)
Website User Tracking-Prasil-Adam-thesis: F8-DP-2016-Prasil-Adam-thesis (https://dspace.cvut.cz/bitstream/handle/10467/62945/F8-DP-2016-Prasil-Adam-thesis.pdf)
MfG. Evaki
Hilfe & Support (deutsch) => Topic started by: evaki on September 22, 2018, 01:05:48 PM