Vimexx Facebook

Onderwerp:

Security Headers

Naam: Carel K

Titel: Member

Geplaatst op 19-07-2018 07:03

Beste allemaal

Natuurlijk zijn er wat mensen die Vimexx gevolgd hebben omtrent de veiligheid van de websites in kwestie. DNS records goed aangepast, voor kleine blog sites (zoals de mijne) compressie uitgezet en nog veel meer opties. Natuurlijk heb ook ik hieraan aan meegedaan en toen sloeg het toe natuurlijk. Er zijn mensen onder ons die dachten “Laat ik eens kijken wat andere scans teweeg brengen.”

Dit was niet alleen voor mij een goede zet, maar voor vele anderen ook.

Daarom dat ik hier het een en ander wil aanbrengen aan oplossingen die wij als gebruikers zelf kunnen instellen, misschien zelfs voor Vimexx om eens te kijken of dit in de Admin zelfs aangevinkt kan worden dmv een generator script.

Het betreft hier dus om de Security Headers van je website. Ik zal hieronder een voorbeeld van een degelijke .htaccess bestand maken. Deze kun je bereiken via je FTP (zorg ervoor dat je de instelling aanvinkt die jou verborgen bestanden laat zien) of zoals ik via SSH in de map public_html het commando nano .htaccess geef om erbij te kunnen.

Een voorbeeld, zoals die ik heb gedaan omdat ik verder niets nodig heb qua rechten en ik echt gericht ben op veiligheid uit respect voor mijn bezoekers (die al te maken hebben met een half-afgemaakte blog site :P ).

Allereerst deze link:
https://securityheaders.com/

Scan je website en neem de uitslag serieus! Natuurlijk heeft Vimexx te maken met basis veiligheid zoals hoort, en hun stellen dit dan ook goed in tot dusver. MAAR, ook wij webmasters, hebben hier verantwoording in.

Voor veel sites zul je zien dat de A+ door veel minder mensen gehaald zijn dan welke andere score ook, op de C score na op dit moment. Het beste, al was het uit respect voor de bezoekers van je site of voor je eigen gevoel van compleetheid, is om richting de A+ te gaan.

De volgende twee links zijn voor mij wederom reden geweest om Vimexx aan te schrijven en de oplossing te geven met betrekking tot de nieuwste policy die is toegevoegd.

https://scotthelme.co.uk/a-new-security-header-feature-policy/

https://wicg.github.io/feature-policy/

Ik ga niet al te veel woorden hieraan besteden en zie ook het liefst dat mensen met andere opties komen. Eventueel zelfs een ideaal .htaccess bestand samen maken waarin veiligheid bovenaan staat. Voor mij is dit enigszins nieuw allemaal dus daarom gewoon de oplossing zoals ik ‘m heb.

# Cool stuff making it secure
<IfModule mod_headers.c>
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</IfModule>
 
# No need to compress my site as its small
<IfModule mod_headers.c>
SetEnv no-gzip 1
SetEnv TZ Europe/Amsterdam
</IfModule>
 
# Extra Security Headers
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header set Content-Security-Policy "default-src 'self'"
Header always set Referrer-Policy "same-origin"
Header unset X-Powered-By
ServerSignature off
</IfModule>
 
# Prevent viewing of htaccess file.
<Files .htaccess>
order allow,deny
deny from all
</Files>
 
# Prevent directory listings
Options All -Indexes
 
# Feature Policy
<IfModule mod_headers.c>
Header always set Feature-Policy "vibrate 'self'; microphone 'none';
payment 'none'; sync-xhr 'self' YourSiteURL.com"
</IfModule>
 

X-XSS – Firefox:

Denk er wel aan dat er een issue zal ontstaan met Firefox als je X-XSS er ook bij zet. De reden is dat Firefox al gebruik maakt van CSP en het daarom niet nodig vind. Dit houd in dat Javascripts niet automatisch meer werken! Helaas wederom een Browser Vs Browser Vs Veiligheid verhaal.

Dus mocht je site ineens niet goed meer werken in Firefox dan weet je waar het probleem (helaas) ligt.

Feature Policy:

Vervang YourSiteURL.com met het adres van jouw website.

Wat ik wil vermijden is een welles-nietes situatie. Een discussie is altijd goed, maar uiteindelijk wil ik bereiken dat meerdere mensen het serieus nemen en dat diegene die er veel meer verstand van hebben dan ook ons wat meer hierover leren over wat juist en niet juist is.

Mvg,
Carel

Datum 19-07-2018 07:03:19

Naam: Mitchel M

Titel: Member

Geplaatst op 19-07-2018 15:52

Hi Carel,

Wat een geweldige aanvulling, daar zijn we enorm blij mee en hopelijk kunnen meer mensen hier hun site nóg veiliger mee maken!

Datum 19-07-2018 15:52:36

Naam: Klaas O

Titel: Member

Geplaatst op 29-10-2018 16:08

@Carel K,

 

Echter bij de

</IfModule>

# Feature Policy
<IfModule mod_headers.c>
Header always set Feature-Policy "vibrate 'self'; microphone 'none';
payment 'none'; sync-xhr 'self' mijndoeinnaam.eu"
</IfModule>

Geeft hij wel een system error 500

 

Datum 29-10-2018 16:08:12

Naam: Klaas O

Titel: Member

Geplaatst op 29-10-2018 16:17

Ik denk dat het aan het volgende ligt in het volgende

Header always set Feature-Policy "vibrate 'self'; microphone 'none';

Daar is aangeven een begin met " en sluit af met een '

Maar nu hoe verder???

Datum 29-10-2018 16:17:59