Technische Fragen zu Content Security und Referrer Policy

  • Bei der Überprüfung auf googlefonts wurde mir diese Website https://eur04.safelinks.protection.outlook.com/?url=https%3A%…M%3D&reserved=0 zum prüfen vorgeschlagen.
    Wenn ich meine Website http://www.kniekuechleform.de/ mit den Link https://eur04.safelinks.protection.outlook.com/?url=https%3A%…M%3D&reserved=0 prüfe, zeigt es mir Punkte mit einen roten X an.

    Was heißt das und wie kann/ oder muss ich das ändern?

    • HTTPS als Voreinstellung: Ja
    • Strict Transport Security
    • Content Security Policy: fehlt
    • Referrer Policy: Referrers werden übermittelt
    • Subresource Integrity (SRI)

    Und müsste bei den Drittanfragen "use.fontawesome.com" auch aus Datenschutzgründen deaktiviert werden?

    Sag schon mal vielen Dank.

    Auch ich lege Wert auf freundlichen und respektvollen Umgangston. Bitte unterlassen Sie Beleidigungen – die haben hier im Forum nichts zu suchen.

    Sag schon mal vielen Dank für Eure Unterstützung. Auch ich helfe gerne wenn mein Joomla Wissen dafür reicht.

    Viele Grüße

  • Nur mal so eben reingeblökt:

    Generell kann "Strict Transport Security" eine heikle Sache sein. Man sollte das nicht blind aktivieren, nur, weil ein Tool das bemängelt. Wenn eine Seite mal aus der Testphase raus ist, kann man das (vielleicht) tun.

    "Content Security Policy" kannst du mit dem HTTP-Header-Plugin konfigurieren. "Nonces" sind allerdings mit Vorsicht zu genießen, da Joomla 4 noch nicht an allen Stellen darauf vorbereitet ist. Manche Sachen funktionieren dann nicht mehr. Auch, wenn du im Editor Inline-Stile verwendest, werden die nicht mehr funktionieren.

    "Referrer-Policy" ebenso im Plugin.

    Leider können die Einstellungen pro individueller Seite so komplex und abweichend sein, dass ich mich hier nicht traue... einzige, was sicher ist, ist "Report-Only" auf "Nein".

    Und nur, weil das Tool dann zufrieden ist, bedeutet das nicht, dass deine Seite noch zur Zufriedenheit läuft.

    Und müsste bei den Drittanfragen "use.fontawesome.com" auch aus Datenschutzgründen deaktiviert werden?

    Ob es nun deaktiviert werden muss, kann ich dir nicht sagen. Jedenfalls gehört es in die Datenschutzerklärung, wenn man mit "Berechtigtem Interesse" argumentiert. Aber, nachdem das letzte Urteil wegen Google-Fonts so war, dass schon das aufnehmen von Verbindung und Übermittlung von IP und ähnliche ein Rechtsverstoß ist, würde ich sagen: JA, das darf nicht sein, ohne Einwilligung.

    Aber Joomla 4 hat Fontawesome ja sowieso beigepackt.

  • Hallo zusammen, sorry das ich mich erst jetzt melde. Bei uns war die Hölle los. Da musste das hinten anstehen.

    Okay, ich habe das Fontawesome im Astroid-Plugin nun auf "lokal" gestellt.

    Also muss ich nun auch nichts in der Datenschutzerklärung erwähnen.

    Bilder

    Auch ich lege Wert auf freundlichen und respektvollen Umgangston. Bitte unterlassen Sie Beleidigungen – die haben hier im Forum nichts zu suchen.

    Sag schon mal vielen Dank für Eure Unterstützung. Auch ich helfe gerne wenn mein Joomla Wissen dafür reicht.

    Viele Grüße