"Standard Security Header aktivieren" einfach anklicken?

    Hallo!

    Eine Joomla! 4-Präsenz möchte ich zusätzlich absichern. Es gibt derzeit zehn Nachinstallationshinweise. Einer davon lautet: "Standard Security Header aktivieren". Kann/darf ich das einfach anklicken? Ein Backup wurde beim Hoster angestoßen und sollte mittlerweile vollständig sein.

    Grüße!

    Joomla! 4.2.2

    Datenbankversion 5.7.25

    PHP 8.0.20

    Hiermit beenden Sie Ihre Windows-Sitzung / OK vielleicht ABBRECHEN

    Die komplette Aufklärung findest du hier:

    HTTP Header Verwaltung - Joomla! Documentation


    Das Plugin System-HTTP-Header ist standardmäßig deaktiviert und du kannst es jederzeit bei Bedarf auch in den Plugins aktivieren.

    Du musst halt entscheiden, ob du es benötigst oder nicht.


    Dazu hat Astrid auch schon einiges geschrieben:

    HTTP-Header und Content Security Policy in Joomla 4
    Die Aufgabe eines Browsers erscheint auf den ersten Blick simpel: er zeigt Text und Bilder an, die man ihm übermittelt. Bei genauerem…
    blog.astrid-guenther.de

    Du kannst deine Seite komplett kaputtkonfigurieren mit diesen Regeln. Und leider ist das von Seite zu Seite komplett unterschiedlich, was nun Sinn macht und was Teile der Seite unbrauchbar macht (ohne, dass man es sofort bemerkt).


    Selbst Joomla-4-Core kommt mit der einen oder anderen, eigentlich selbstverständlichen Einstellung wie bspw. "Nonce" noch nicht in Gänze klar. Zwar nur wenige Stellen, aber halt doch, die dann nicht mehr wie gedacht funktionieren. Von viele 3rd-Erweieterungen ganz zu schweigen.


    Zu HSTS: Das erzählt den Browsern, dass die Seite immer nur via HTTPS etc. angesteuert werden soll. Nachteil daran. Der Browser merkt sich das für eine lange Zeitspanne dauerhaft. Wenn du also HSTS wieder abschaltest, hat das ggf. keine Wirkung bis die Zeitspanne abgelaufen ist. Oder du in Dateien des Browsers rumfuhrwerkst, um die HSTS-Einträge im Editor zu entfernen (zumindest bei Firefox geht das).


    Während Testphasen kann das ggf. extrem nervig sein. Bspw. man hat eine Test-Subdomain, noch ohne SSL-Zertifikat und HSTS war aktiviert.


    Auch hier also: Man sollte sich schon sicher sein, was man einstellt und rechtzeitig wieder abstellt oder es besser bleiben lassen.


    Ich probiere da schon länger mit Trial&Error auf diversen Seiten rum und stelle immer wieder fest, dass ich sichere Einstellungen schrittweise wieder rücksetzen muss oder erst mal wieder 1 Stunde mit Recherche und rumprobieren neue Ausnahmen und Kram hinzufügen muss.


    Die Browser-Konsolen geben aber über das Meiste Auskunft in der Art "Wurde nicht geladen, Wurde blockiert, weil usw.".