Hallo,
ich bin gerade am Setzen/Testen und Analysieren von verschiedenen "HTTP Security Headers".
Außer den Einträgen "CSP" und "X-Content-Type-Options", die ja bereits in der .htaccess drinstehen (Joomla-Empfehlung), habe ich weitere gesetzt, beispielsweise Referrer-Policy, X-Frame-Options oder das ältere X-XSS-Protection.
Bei der Analyse durch siwecos.de oder auch securityheaders.com stehe ich vor folgendem Problem, weil beim Aufruf der Seite folgende Weiterleitungen stattfinden. Die erkannten Header stehen in Klammern:
example.de/ (HTST)
-> 301: example.de/de/ (X-Content-Type-Options, X-Frame-Options, Referrer-Policy)
-> 301: example.de/de (Antwort: 200) (HTST)
Letztendlich wird mir das Ergebnis (Bewertung/Punktzahl) der letzten Seite (200) angezeigt.
1.) Doch warum werden nicht immer alle gesetzten Header angezeigt? Das Ergebnis wird dadurch verfälscht.
2.) Und warum könnte bei der ersten Weiterleitung der Header STS fehlen?
3.) Inwiefern spielen Joomla-Cache und OPCache eine Rolle? Letzterer sollte doch keinen Einfluss haben? Oder wird da über PHP etwas gesetzt, was irgendwie dawischenfunkt?
EDIT: Alles wird über die .htaccess gesetzt. Das Header-Plugin ist nicht installiert.
Joomla 3.9.26, PHP 7.4
Ergänzung:
Der HSTS wurde von mir nicht gesetzt. Wird der automatisch hinzugefügt, wenn über https übertragen wird?
Oder sollte ich den zusätzlich angeben mit entsprechender Zeitangabe? Nicht, dass der dann doppelt gesetzt ist.
Weiterer Beitrag wegen Zeitüberschreitung:
Für die Admins/Mods: Bitte beim Zusammenfassen auch gleich den falschen Link im ersten Beitrag durchtauschen. richtig wäre natürlich siwecos.de
Danke!
Neueste Erkenntnisse:
Ich habe mal ein paar Test mit einer einfachen Webseite gemacht, also keine mehrsprachige Webseite.
Das Problem bleibt, die Ursache kann aber nun etwas eingeschränkt werden.
Per .htaccess wird von http -> https weitergeleitet.
Die Analyse erfolgt über securityheaders.com
1.Lasse ich die http-Version analysieren, dann werden alle gesetzten Header angezeigt.
2. Lasse ich die https-Version analysieren, wird nur der STS angezeigt.
Ich verstehen nicht, wie dieser Dienst die http->https-Weiterleitung in der .htacccess "aushebeln" kann. Nun gut, man braucht dort bei der Analyse dieses "Follow redirects" nicht aktivieren, dennoch finde ich es seltsam.
Bei Analyse über siwecos.de wird immer nur der STS Header angezeigt. Ich vermute, dass hier die Weiterleitung zu https autmatisch erfolgt. Kann ja auch nirgends deaktiviert werden (zumindest habe ich es noch nicht gefunden).
Aber warum werden bei der Analyse der https-Aufrufe die Header nicht angezeigt. Gibt es ev. einen Header, der genau das unterbinden kann?