Ankündigung

Einklappen
Keine Ankündigung bisher.

htaccess security headers

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    htaccess security headers

    Hallo,

    ich habe eine Frage bezüglich unserer Server Sicherheitsmaßnahmen.
    Es gibt ja verschieden Seite wo man die Sicherheit überprüfen kann, wie https://securityheaders.io/
    Ich möchte unseren Shop bezüglich Clickjacking und anderen Dingen schützen.

    Ich habe in der .htacess folgende Befehle eingetragen:

    # Don't allow any pages to be framed - Defends against CSRF
    Header set X-Frame-Options SAMEORIGIN
    # Turn on IE8-IE9 XSS prevention tools
    Header set X-XSS-Protection "1; mode=block"
    # Only allow JavaScript from the same domain to be run.
    # Don't allow inline JavaScript to run.
    Header set X-Content-Security-Policy "allow 'self';"
    # prevent mime based attacks
    Header set X-Content-Type-Options "nosniff"


    Es ändert sich aber nichts dadurch.
    Kann mir jemand weiterhelfen?

    #2
    Sowas müsste direkt in der Apache Konfiguration eingetragen werden (Root Zugriff erforderlich), es bei einem Shared Hosting in die .htaccess einzutragen wird sinnlos sein, wenn mod_headers in Apache nicht aktiv ist.
    Das solltest Du wohl besser mit Deinem Provider klären.

    Was das Verhindern von Einbinden in Frames betrifft:
    Ist in der kommenden Zen Cart Version 1.5.5 bereits enthalten.

    includes/templates/DEINTEMPLATE/common/html_header.php

    Ändere von:

    Code:
    /**
     * load the module for generating page meta-tags
     */
    require(DIR_WS_MODULES . zen_get_module_directory('meta_tags.php'));
    /**
     * output main page HEAD tag and related headers/meta-tags, etc
     */
    ?>
    auf

    Code:
    // Prevent clickjacking risks by setting X-Frame-Options:SAMEORIGIN
    header('X-Frame-Options:SAMEORIGIN');
    /**
     * load the module for generating page meta-tags
     */
    require(DIR_WS_MODULES . zen_get_module_directory('meta_tags.php'));
    /**
     * output main page HEAD tag and related headers/meta-tags, etc
     */
    ?>

    Kommentar


      #3
      htaccess security headers

      Ich habe gestern mit 1&1 telefoniert. Die sagen mod_headers wäre aktiv.
      Kann man das irgendwo sehen ob das stimmt wenn man keinen Root Zugriff hat?
      Kann das Problem noch woanders liegen?

      Kommentar


        #4
        Die einzig sinnvolle Änderung scheint mir header('X-Frame-Options:SAMEORIGIN'); zu sein, das wie oben beschrieben nicht in die .htaccess sondern die html_header.php eingetragen wird

        Ob solche Einträge in der .htaccess überhaupt unterstützt werden bzw. welche genaue Syntax dafür zu verwenden ist kann nur der Provider beantworten.

        Die anderen Dinge außer header('X-Frame-Options:SAMEORIGIN'); sind kontraproduktiv, z.B. zu verhindern, dass Javascripts von anderen Servern geladen werden, wird Funktionalitäten in Zen Cart zerstören und macht keinerlei Sinn.

        Kommentar

        Info zu diesem Forenarchiv:
        Mit Release von 1.5.7 wurde die deutsche Zen Cart Version auf eine reine DIY-Lösung umgestellt.
        Für einen Support via Forum stehen keine personellen und zeitlichen Ressourcen mehr zur Verfügung.
        Dieses Supportforum bleibt im Nur-Lesen-Modus als Wissensarchiv noch online verfügbar.
        PM Funktionalität, Registrierung und Posten neuer Beiträge sind deaktiviert.
        Zugriff auf Anhänge in den Postings ist auch ohne Registrierung/Einloggen möglich.
        FAQ und Downloadbereich des Forums wurden in die neue umfangreiche Knowledgebase auf der zen-cart-pro.at Website übernommen.

        Das Development der deutschen Zen Cart Version geht wie bisher auf Github weiter.
        Wir werden auch weiterhin neue Versionen bereitstellen und die Onlinedokumentation/Knowledgebase aktualisieren.
        Fehler in der Software können auf Github als Issues gemeldet werden.
        Follow us
        aktuelle version
        Zen Cart 1.5.7g deutsch
        vom 12.12.2023
        [Download]
        Lädt...
        X