O.Arch 9: Unterschied zwischen den Versionen
D.hack (Diskussion | Beiträge) |
D.hack (Diskussion | Beiträge) |
||
| Zeile 47: | Zeile 47: | ||
Referrer-Policy: strict-origin-when-cross-origin | Referrer-Policy: strict-origin-when-cross-origin | ||
</syntaxhighlight> | </syntaxhighlight> | ||
In diesem Beispiel wird der Referrer nur weitergegeben, wenn die Herkunfts-URL dieselbe ist, ansonsten wird er auf den Ursprung reduziert. | |||
<br /> | <br /> | ||
| Zeile 71: | Zeile 72: | ||
Permissions-Policy: geolocation=(), microphone=() | Permissions-Policy: geolocation=(), microphone=() | ||
</syntaxhighlight> | </syntaxhighlight> | ||
In diesem Beispiel sind die Berechtigungen für die Geolokalisierung und das Mikrofon deaktiviert. | |||
<br /> | <br /> | ||
;X-XSS-Protection | ;X-XSS-Protection | ||
:Der X-XSS-Protection-Header aktiviert den XSS-Schutz im Browser und verhindert das Laden einer Seite, wenn ein XSS-Angriff erkannt | :Der X-XSS-Protection-Header aktiviert den XSS-Schutz im Browser und verhindert das Laden einer Seite, wenn ein XSS-Angriff erkannt wird. | ||
<syntaxhighlight lang="bash" style="border: 3px dashed blue;"> | <syntaxhighlight lang="bash" style="border: 3px dashed blue;"> | ||
# Beispielkonfiguration eines Apache-Servers zu Verwendung von X-XSS-Protection | # Beispielkonfiguration eines Apache-Servers zu Verwendung von X-XSS-Protection | ||
X-XSS-Protection: 1; mode=block | X-XSS-Protection: 1; mode=block | ||
</syntaxhighlight> | </syntaxhighlight> | ||
Der Modus block verhindert, dass der Browser versucht, die Seite zu reparieren, wenn ein XSS-Angriff festgestellt wird. | |||
<br /> | <br /> | ||
Version vom 15. Mai 2024, 10:46 Uhr
Beschreibung
Die Web-Anwendung SOLL HTTP-Server-Header nutzen, die dem aktuellen Stand der Technik entsprechen und die Sicherheit der Anwendung erhöhen. Dazu gehören unter anderem HTTP Strict Transport Security (HSTS), Content Security Policy (CSP) und X-Frame-Options.
Kurzfassung
Verwendung von dem Stand der Technik entsprechenden HTTP-Server-Headern.
Anmerkungen
Prüftiefe
- CHECK
Der Evaluator prüft, ob entsprechende HTTP-Server-Header verwendet werden. Falls keine dem Stand der Technik entsprechenden HTTP-Server-Header verwendet werden, ist dies in der Risikobewertung zu berücksichtigen.
Lösungsansätze
Implementierung
- Security Headers
- Security Headers sind HTTP-Header, die auf Webseiten und Webanwendungen verwendet werden, um die Sicherheit und den Schutz vor verschiedenen Arten von Angriffen und Sicherheitslücken zu verbessern. Sie bieten eine wichtige Sicherheitsebene, um Benutzer und Daten vor Bedrohungen zu schützen [1].
Bekannte Sicherheitsheader sind beispielsweise:
- Content Security Policy (CSP)
- X-Content-Type-Options
- Referrer-Policy
- Strict-Transport-Security (HSTS)
- X-Frame-Options
- Permission-Policy
- X-XSS-Protection
- Content Security Policy (CSP)
- CSP legt fest, welche Ressourcen auf einer Seite geladen werden dürfen und hilft so, Cross-Site-Scripting (XSS)-Angriffe zu verhindern.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von CSP
Content-Security-Policy: default-src 'self'; script-src 'self' https://apis.google.com
- X-Content-Header
- Die X-Content-Type-Options sind ein Sicherheitsheader, der den Browser anweist, den MIME-Typ von Ressourcen nicht zu erraten und ihnen stattdessen zu vertrauen, wie er vom Server bereitgestellt wird.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von X-Content-Header
X-Content-Type-Options: nosniff
- Referrer-Policy
- Der Referrer-Policy-Header legt die Richtlinie für das Übermitteln von Referrern fest, wenn der Benutzer von einer anderen Website aus auf Ihre Seite zugreift.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von Referrer-Policy
Referrer-Policy: strict-origin-when-cross-origin
In diesem Beispiel wird der Referrer nur weitergegeben, wenn die Herkunfts-URL dieselbe ist, ansonsten wird er auf den Ursprung reduziert.
- HTTP Strict Transport Security (HSTS)
- HSTS stellt sicher, dass die Webanwendung ausschließlich über eine verschlüsselte Verbindung (HTTPS) erreichbar ist und schützt somit vor man-in-the-middle-Angriffen.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von HSTS
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
- X-Frame-Option
- X-Frame-Options verhindert das Laden der Webseite in einem <frame>, <iframe> oder <object> und schützt so vor Clickjacking-Angriffen.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von x-Frame-Options
X-Frame-Options: DENY
- Permission-Policy
- Die Permission-Policy legt die Berechtigungen fest, die eine Webseite anfordern kann.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von Permission-Policy
Permissions-Policy: geolocation=(), microphone=()
In diesem Beispiel sind die Berechtigungen für die Geolokalisierung und das Mikrofon deaktiviert.
- X-XSS-Protection
- Der X-XSS-Protection-Header aktiviert den XSS-Schutz im Browser und verhindert das Laden einer Seite, wenn ein XSS-Angriff erkannt wird.
# Beispielkonfiguration eines Apache-Servers zu Verwendung von X-XSS-Protection
X-XSS-Protection: 1; mode=block
Der Modus block verhindert, dass der Browser versucht, die Seite zu reparieren, wenn ein XSS-Angriff festgestellt wird.
Weblinks
Strict-Transport-Security (HSTS)