Vimexx Facebook

Onderwerp: Security Headers

19-07-2018 07:03

Beste allemaal

Natuurlijk zijn er wat mensen die Vimexx gevolgd hebben omtrent de veiligheid van de websites in kwestie. DNS records goed aangepast, voor kleine blog sites (zoals de mijne) compressie uitgezet en nog veel meer opties. Natuurlijk heb ook ik hieraan aan meegedaan en toen sloeg het toe natuurlijk. Er zijn mensen onder ons die dachten “Laat ik eens kijken wat andere scans teweeg brengen.”

Dit was niet alleen voor mij een goede zet, maar voor vele anderen ook.

Daarom dat ik hier het een en ander wil aanbrengen aan oplossingen die wij als gebruikers zelf kunnen instellen, misschien zelfs voor Vimexx om eens te kijken of dit in de Admin zelfs aangevinkt kan worden dmv een generator script.

Het betreft hier dus om de Security Headers van je website. Ik zal hieronder een voorbeeld van een degelijke .htaccess bestand maken. Deze kun je bereiken via je FTP (zorg ervoor dat je de instelling aanvinkt die jou verborgen bestanden laat zien) of zoals ik via SSH in de map public_html het commando nano .htaccess geef om erbij te kunnen.

Een voorbeeld, zoals die ik heb gedaan omdat ik verder niets nodig heb qua rechten en ik echt gericht ben op veiligheid uit respect voor mijn bezoekers (die al te maken hebben met een half-afgemaakte blog site :P ).

Allereerst deze link:
https://securityheaders.com/

Scan je website en neem de uitslag serieus! Natuurlijk heeft Vimexx te maken met basis veiligheid zoals hoort, en hun stellen dit dan ook goed in tot dusver. MAAR, ook wij webmasters, hebben hier verantwoording in.

Voor veel sites zul je zien dat de A+ door veel minder mensen gehaald zijn dan welke andere score ook, op de C score na op dit moment. Het beste, al was het uit respect voor de bezoekers van je site of voor je eigen gevoel van compleetheid, is om richting de A+ te gaan.

De volgende twee links zijn voor mij wederom reden geweest om Vimexx aan te schrijven en de oplossing te geven met betrekking tot de nieuwste policy die is toegevoegd.

https://scotthelme.co.uk/a-new-security-header-feature-policy/

https://wicg.github.io/feature-policy/

Ik ga niet al te veel woorden hieraan besteden en zie ook het liefst dat mensen met andere opties komen. Eventueel zelfs een ideaal .htaccess bestand samen maken waarin veiligheid bovenaan staat. Voor mij is dit enigszins nieuw allemaal dus daarom gewoon de oplossing zoals ik ‘m heb.

# Cool stuff making it secure
<IfModule mod_headers.c>
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</IfModule>
 
# No need to compress my site as its small
<IfModule mod_headers.c>
SetEnv no-gzip 1
SetEnv TZ Europe/Amsterdam
</IfModule>
 
# Extra Security Headers
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header set Content-Security-Policy "default-src 'self'"
Header always set Referrer-Policy "same-origin"
Header unset X-Powered-By
ServerSignature off
</IfModule>
 
# Prevent viewing of htaccess file.
<Files .htaccess>
order allow,deny
deny from all
</Files>
 
# Prevent directory listings
Options All -Indexes
 
# Feature Policy
<IfModule mod_headers.c>
Header always set Feature-Policy "vibrate 'self'; microphone 'none';
payment 'none'; sync-xhr 'self' YourSiteURL.com"
</IfModule>
 

X-XSS – Firefox:

Denk er wel aan dat er een issue zal ontstaan met Firefox als je X-XSS er ook bij zet. De reden is dat Firefox al gebruik maakt van CSP en het daarom niet nodig vind. Dit houd in dat Javascripts niet automatisch meer werken! Helaas wederom een Browser Vs Browser Vs Veiligheid verhaal.

Dus mocht je site ineens niet goed meer werken in Firefox dan weet je waar het probleem (helaas) ligt.

Feature Policy:

Vervang YourSiteURL.com met het adres van jouw website.

Wat ik wil vermijden is een welles-nietes situatie. Een discussie is altijd goed, maar uiteindelijk wil ik bereiken dat meerdere mensen het serieus nemen en dat diegene die er veel meer verstand van hebben dan ook ons wat meer hierover leren over wat juist en niet juist is.

Mvg,
Carel

19-07-2018 15:52
#1535

Hi Carel,

Wat een geweldige aanvulling, daar zijn we enorm blij mee en hopelijk kunnen meer mensen hier hun site nóg veiliger mee maken!

29-10-2018 16:08
#1718

@Carel K,

 

Echter bij de

</IfModule>

# Feature Policy
<IfModule mod_headers.c>
Header always set Feature-Policy "vibrate 'self'; microphone 'none';
payment 'none'; sync-xhr 'self' mijndoeinnaam.eu"
</IfModule>

Geeft hij wel een system error 500

 

29-10-2018 16:17
#1720

Ik denk dat het aan het volgende ligt in het volgende

Header always set Feature-Policy "vibrate 'self'; microphone 'none';

Daar is aangeven een begin met " en sluit af met een '

Maar nu hoe verder???

23-06-2019 14:25
#2090

Dit zal 1 regel zijn: 

Header always set Feature-Policy "vibrate 'self'; microphone 'none'; payment 'none'; sync-xhr 'self' YourSiteURL.com"

11-11-2019 10:51
#2296

Super bedankt carel! Dit mag wat mij betreft wel een support artikel worden!

08-01-2020 13:22
#2360

Hoi Carel ....... en natuurlijk alle anderen,

Leuke info zag ik voorbijkomen terwijl ik daar inmiddels ook mee bezig ben gegaan

Tja, een goed werkende .Htaccess bestand is niet een "klusje" dat je in een paar minuten ""klaar" hebt.

Er is genoeg (Engels talige) info te vinden over een goed werkend .Htacces bestand, maar je kan er natuurlijk ook zelf mee "sleutelen"  net zolang je er tevreden mee bent.

Inmiddels ben ik al een paar uurtjes verder en heb een voor mij goed werkende .Htaccess bestand waarmee ik verder ga. 

 Als je bij je DirectAdmin Default map kan komen, raad ik je aan, om er een door jezelf aangepaste .Htaccess bestand te uploaden, zodat je bij alle verder aan te schaffen domeinen plezier van kan hebben.

Gr,

Leo 

14-05-2020 18:59
#2571

Mbt tot de X-XSS protection beveiligingsadviezen van de opening post. Verouderd.

Egde en Chrome ondersteunen dat ook al niet meer.

https://www.chromium.org/developers/design-documents/xss-auditor

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection

 

- 5 van 5 sterren -