Contao Konferenz 2019 in Duisburg - Call for Papers
Ergebnis 1 bis 9 von 9

Thema: Sicherheitsbedenken nach Test

  1. #1
    Contao-Fan
    Registriert seit
    05.11.2012.
    Beiträge
    298

    Standard Sicherheitsbedenken nach Test

    Hallo zusammen,
    ich habe mit diesem Tool von Mozilla einen Sicherheitstest über meine Websites (3x mit Contao, 1x ohne) laufen lassen eigentlich jedes mal diese Fehleranalyse bekommen:
    Testergebis.jpg

    Ein zweiter Test ergab ähnliches: Testergebis2.jpg

    Die Contao-Seiten mit mit einem Let's Encrypt-Zertifikat ausgestattet, die Nicht-Contao-Site mit einem Zertifikat von 1&1 (ich glaube kostenlos). Mindestens eine Contao-Site ist auf der aktuellen 3er Version 3.5.38.
    Leider lassen mich dieses Ergebnisse ziemlich ratlos zurück, da ich überhaupt keine Ahnung habe, wie ich diese Probleme beheben soll.

    Meine Recherche im Internet scheiterte, da ich nicht genau weiß, was ich überhaupt suchen soll. Es gab zwar Hinweis, was man in den Header schreiben soll (z.B. »Strict-Transport-Security: max-age=63072000; includeSubDomains; preload«), dass hat aber nicht funktioniert – jedenfalls so, wie ich es gemacht habe.

    Ich habe auch meinen Provider (All-inkl) angeschrieben und nach einer Lösung gefragt. Er hat mir gesagt, dass ich nur beim Zertifikat HSTS anklicken kann, sonst muß ich mir selbst helfen. Ich habe das dann auch gemacht, aber leider gibt es immer noch eine Fehlermeldung, da die Attribute "includeSubDomains" und "preload" nicht mit angegeben werden können.

    Was kann ich hier machen? Wo muss ich Einstellungen auf meiner (Contao-)Seite verändern, um möglichst viele dieser Fehlermeldungen zu eleminieren? Geht das überhaupt?

    Vielen Dank für Eure Tipps
    Jan-Dirk

  2. #2
    Contao-Fan Avatar von PaddySD
    Registriert seit
    26.10.2016.
    Ort
    Andechs
    Beiträge
    659

    Standard

    Das sind alles Einstellungen Deines Webservers (Apache/Nginx), nicht von Contao.

    Ich sag's ehrlich, wenn Du nicht weißt, worum es da geht, dann stell da mal besser nicht dran rum. Sicherheitseinstellungen haben den Nachteil, dass sie zu an und aus auch noch den Status unsicher haben können, und das will man nicht.

    Wenn Du Dich mit dem Thema auseinander setzen willst (Achtung, umfangreich!), dann starte mal mit Suchbegriffen wie harden security apache oder security header apache. Aber wie erwähnt, hier ist mit Halbwissen und Tutorials kopieren nichts gewonnen. Da musst Du schon verstehen, was Du tust, denn wenn da was schief geht, ist Dein Server möglicherweise offen oder zu-tode-konfiguriert, und bei sowas wird Hilfe auch schwierig.

    Mein Tipp wäre anlesen, aber erst etwas ändern, wenn man versteht, was man tut!

    Ist nicht abwertend gemeint, es gibt nur viel zu viele schlecht konfigurierte Server, die im Nachhinein mehr Ärger machen, als wenn man es gleich in den Grundeinstellungen gelassen hätte.

  3. #3
    Administrator Avatar von xchs
    Registriert seit
    19.06.2009.
    Beiträge
    13.396
    User beschenken
    Wunschliste

    Standard

    Vor einiger Zeit hatte ich das mal folgendermaßen gemacht:

    system/config/initconfig.php

    PHP-Code:
    /**
     * HTTP Security Header
     * 
     * @see https://www.owasp.org/index.php/List_of_useful_HTTP_headers
     * @see https://securityheaders.io/
     * @see https://www.ssllabs.com/ssltest/
     */
    header("Referrer-Policy: no-referrer");
    header("Strict-Transport-Security: max-age=31536000; includeSubDomains");
    header("X-Content-Type-Options: nosniff");
    header("X-Frame-Options: SAMEORIGIN");
    header("X-XSS-Protection: 1; mode=block");
    header("Feature-Policy: vibrate 'none'; microphone 'none'; camera 'none'; sync-xhr 'self'");
    if( 
    TL_MODE == 'FE' 

        
    header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; object-src 'none'; frame-ancestors 'self'; base-uri 'self'; form-action 'self'");


    if( 
    TL_MODE == 'BE' 

        
    header("Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src data: blob: 'self'; style-src 'self' 'unsafe-inline'; object-src 'none'; frame-ancestors 'self'; base-uri 'self'; form-action 'self'");
    }

    ini_set("session.cookie_secure"1); 
    Es kann allerdings sein, dass die letzte Zeile einen Fehler wirft, falls das Ändern via ini_set so nicht zulässig ist. Aufpassen würde ich auch beim HSTS preload Parameter. Da sollte man sich schon gut überlegen, ob man das will und welche Auswirkungen es ggf. haben könnte.

    CSP ist auf jeden Fall tricky und in der Regel auch nicht ganz trivial. Hier muss man schon genau schauen, was man wie zulässt oder blockt.

    Ab Contao 4 werden ja auch bereits einige der Security Header gesetzt: https://github.com/contao/manager-bu...ig.yml#L78-L92
    Contao Community Administrator
    [Unterstützungsmöglichkeiten]

  4. #4
    Contao-Fan
    Registriert seit
    05.11.2012.
    Beiträge
    298

    Standard

    Zitat Zitat von PaddySD Beitrag anzeigen
    Das sind alles Einstellungen Deines Webservers (Apache/Nginx), nicht von Contao.
    Das beruhigt mich schon mal.

    Zitat Zitat von PaddySD Beitrag anzeigen
    Aber wie erwähnt, hier ist mit Halbwissen und Tutorials kopieren nichts gewonnen. Da musst Du schon verstehen, was Du tust, denn wenn da was schief geht, ist Dein Server möglicherweise offen oder zu-tode-konfiguriert, und bei sowas wird Hilfe auch schwierig.
    Aber komisch, das der Hoster mir dann sagt, ich könne nur eine Einstellung verändern.
    Aber auf jeden Fall hast du mir sehr geholfen, weil ich mich nicht auch noch zusätzlich in dieses Thema einarbeiten muss, das wäre mir dann doch zuviel.
    Wichtig ist mir, das ich keine Einfallstore für Hacker etc. offen habe, die ich eigenverantwortlich schließen könnte/müsste. Und verschlimmbessern möchte ich nichts.

  5. #5
    Contao-Fan Avatar von PaddySD
    Registriert seit
    26.10.2016.
    Ort
    Andechs
    Beiträge
    659

    Standard

    Danke @xchs, gute Vorlage!

    @Jan-Dirk
    Genau deswegen sagt das Dein Hoster. Stell Dir vor, Du änderst was, und nix geht mehr... Aufräumen muß in letzter Konsequenz der Hoster, und da kann man sich Probleme nicht weit genug vom Hals halten Es hängt aber wirklich auch zum Gutteil an der Machbarkeit. Wenn Du keinen Zugriff auf die Apache Konfiguration hast, dann kannst Du nur mittels Ersatzvarianten, wie von xchs gepostet, arbeiten, und da greift dann schnell mein vorheriger Satz.

    Ich für meinen Teil empfinde die aktuellen Server-Konfigurationen im Standard (also direkt nach Installation) schon als recht brauchbar, damit sollten 90% abgedeckt sein. Mit normalem Aufwand nimmst Du noch gute 9% mit, bleibt noch 1% übrig, und das ist was für Nerds. Du bewegst Dich mit der Frage so bei geschätzten 95%.

  6. #6
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Vienna, Austria
    Beiträge
    20.181
    User beschenken
    Wunschliste

    Standard

    Nicht alles davon sind Webserver Einstellungen. Aktualisiere auf Contao 4.

  7. #7
    Contao-Fan
    Registriert seit
    05.11.2012.
    Beiträge
    298

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Nicht alles davon sind Webserver Einstellungen. Aktualisiere auf Contao 4.
    Ja, bei einer der Seiten bin ich auch dabei, allerdings ist es für mich recht mühsam und dauert alles etwas länger.
    Die zweite Seite hat nun auch noch einen kleinen Isotope-Shop und hier bin ich noch viel stärker am Zögern...

    Hat man denn in der 3.5.38 ein großes Einfallstor für Hacker offen, oder brauchen die dort auch Mühe, um reinzukommen (die Seiten sind nicht groß und daher nicht wirklich relevant)?
    Würde ungerne ein Opfer von z.B. Spambots werden...

  8. #8
    Contao-Urgestein Avatar von Kahmoon
    Registriert seit
    22.06.2009.
    Ort
    München
    Beiträge
    4.071

    Standard

    Zitat Zitat von Jan-Dirk Beitrag anzeigen
    J
    Hat man denn in der 3.5.38 ein großes Einfallstor für Hacker offen.
    Nein!

  9. #9
    Contao-Fan
    Registriert seit
    05.11.2012.
    Beiträge
    298

    Standard

    Zitat Zitat von Kahmoon Beitrag anzeigen
    Nein!
    GUT! Darum ging es mir. Vielleicht sollte ich nicht mehr so viele Tests mitmachen, die bringen einen eigentlich nur auf die falsche Fährte...
    Danke an Euch (wieder mal)

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •