X-Content-Type-Options

  • Da ich das auch gerade letzte Woche getestet habe haben mich die unterschiedlichen Ergebnisse der Tools auch etwas irritiert.

    Verwendet habe ich diese 3:

    Tool 1: https://webbkoll.dataskydd.net

    Tool 2: https://securityheaders.com

    Tool 3: https://observatory.mozilla.org


    Bemängelt wurde von Tool 1 & 3 folgendes:

    Verbiete zuerst alles mit der Standardeinstellung default-src 'none'

    Tool 2 sieht das wiederum ganz anders....


    Und das ist auch gut so, denn das genannte "Problem" lässt sich nach meinen Test´s gar nicht so einfach beheben.

    Oder? ;)

    picsforjoo - Kostenlose, lizenzfreie Bilder ohne Anmeldung oder Registrierung!


    ...denn teuer gibt´s woanders!

  • Wie soll man das wissen, wenn so ein Tool ODER-ODER-UND-Allgemeinplätze raushaut. Kann nur über Joomla sagen, dass ein

    Code
    data:

    Für mich nur gelegentlich in img-src Sinn macht.


    Und, dass Joomla 4 das

    Code
    'unsafe-inline'

    für script-src auf manchen Seiten benötigt bzw. auf manchen Seiten die Nonces keinen Sinn machen, weil Inline-Scripte, die Joomla-4-Core immer noch drinnen hat, dann nicht funktionieren: https://github.com/joomla/joomla-cms/issues/37799


    Kurz: Ich sehe nur im Browser nach, ob meine erst mal hart eingestellten Header-Einstellungen etwas blockieren, anstatt flach gehaltenen Empfehlungen hinterherzurennen, wie es theoretisch besser sein könnte. Was halt nicht geht, geht halt nicht ;)


    Und bezüglich

    Code
    https:

    Klar ist das etwas pauschal und irgendwo auch unsinnig, aber, wenn man sich dann diese ellenlangen, präziseren Ausnahmen zusammenbastelt, die auf manchen Seiten nötig sind, weil man eben nicht auf externe Ressourcen verzichtet, dann versteh ich schon, wenn wer nur https: auf eigener Seite einträgt ;)


    EDIT: Wer sich z.B. externe "Features" von Google oder auch so manchem Immobilien-Portal, wo JavaScripte, die man erlaubt hat, schneeballartig weitere nachladen und dann weitere, kann seine Ausnahmen hinterher sicher nicht mehr überblicken und man geht gerne in den Faulheitsmodus ;)