Hallo,
In der .htaccess ist X-Content-Type-Options «nosniff» vorhanden.
Wird aber vom «Security Headers Scan» nicht erkannt.
Hallo,
In der .htaccess ist X-Content-Type-Options «nosniff» vorhanden.
Wird aber vom «Security Headers Scan» nicht erkannt.
«Security Headers Scan»
Wer/Wo ist denn das? Es gibt so viele Tools, die mit diesem Begriff arbeiten.
Hallo Re:Later,
Besten Dank, du hast recht, es ist vorhanden:
Mit diesem Scan gemäss Webseite von Astrid hier:
Und mit diesem das selbe, gerade getestet:
Da ich das auch gerade letzte Woche getestet habe haben mich die unterschiedlichen Ergebnisse der Tools auch etwas irritiert.
Verwendet habe ich diese 3:
Tool 1: https://webbkoll.dataskydd.net
Tool 2: https://securityheaders.com
Tool 3: https://observatory.mozilla.org
Bemängelt wurde von Tool 1 & 3 folgendes:
Verbiete zuerst alles mit der Standardeinstellung default-src 'none'
Content Security Policy (CSP) wurde unsicher implementiert. Das beinhaltet ein 'unsafe-inline' oder data: innerhalb von script-src, zu weit umfasste Ressourcen wie beispielsweise https: in object-src oder script-src eine fehlende Eingrenzung auf Ressourcen bei object-src oder script-src.
Tool 2 sieht das wiederum ganz anders....
Und das ist auch gut so, denn das genannte "Problem" lässt sich nach meinen Test´s gar nicht so einfach beheben.
Oder?
Wie soll man das wissen, wenn so ein Tool ODER-ODER-UND-Allgemeinplätze raushaut. Kann nur über Joomla sagen, dass ein
Für mich nur gelegentlich in img-src Sinn macht.
Und, dass Joomla 4 das
für script-src auf manchen Seiten benötigt bzw. auf manchen Seiten die Nonces keinen Sinn machen, weil Inline-Scripte, die Joomla-4-Core immer noch drinnen hat, dann nicht funktionieren: https://github.com/joomla/joomla-cms/issues/37799
Kurz: Ich sehe nur im Browser nach, ob meine erst mal hart eingestellten Header-Einstellungen etwas blockieren, anstatt flach gehaltenen Empfehlungen hinterherzurennen, wie es theoretisch besser sein könnte. Was halt nicht geht, geht halt nicht
Und bezüglich
Klar ist das etwas pauschal und irgendwo auch unsinnig, aber, wenn man sich dann diese ellenlangen, präziseren Ausnahmen zusammenbastelt, die auf manchen Seiten nötig sind, weil man eben nicht auf externe Ressourcen verzichtet, dann versteh ich schon, wenn wer nur https: auf eigener Seite einträgt
EDIT: Wer sich z.B. externe "Features" von Google oder auch so manchem Immobilien-Portal, wo JavaScripte, die man erlaubt hat, schneeballartig weitere nachladen und dann weitere, kann seine Ausnahmen hinterher sicher nicht mehr überblicken und man geht gerne in den Faulheitsmodus