HTTP-headers-plugin vs. .htaccess-Datei

    • Neu
    Joomla Version
    4.4.3
    PHP Version
    PHP 8.3.x
    Hoster
    fc-hosting

    Hallo zusammen,


    ich bin dabei, meine .htacces-Datei zu optimieren. Dazu habe ich zwei Fragen:

    1. Wo speichert dass HTTP-headers-plugin die Einstellungen ab?
    2. Überschreiben die Einstellungen in dem plugin die Einstellungen in der .htacces-Datei?
    • Neu

    Vielleicht auch interessant:


    Externer Inhalt m.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    • Neu
    Zitat von Stef

    Vielleicht auch interessant:

    Interessantes und informatives Video, aber leider ohne Antwort auf meine Eingangsfragen.

    Zitat von CurlY BracketS

    Möglicherweise hilft dieser Artikel, der im JCM erschienen ist, und den ich mal ins Deutsch übertragen habe, etwas Licht in die Sache zu bringen.

    Das ist ein hilfreicher Artikel. Aber auch dort leider kein Hinweis auf meine Eingangsfragen.


    Auch lesenswert (obwohl der Artikel sich auf WordPress bezieht):

    WordPress-Sicherheit mit HTTP-Security-Header erhöhen


    Was ich bis jetzt durch viel Herumexperimentieren feststellen konnte:

    • Mit der Entwicklerkonsole in Firefox konnte ich alle Änderungen der .htacces überprüfen
    • Auch das Tool von dataskydd.net unterstützt sehr gut bei den .htaccess-Einstellungen.

    ABER: Die Einstellungen im HTTP-headers-plugin konnte ich dort nicht finden. Vielleicht ein Hinweis darauf, dass die .htaccess diese Einstellungen überschreibt.

    Gruß aus dem Emsland
    HoSe

    Einmal editiert, zuletzt von Indigo66 () aus folgendem Grund: Ein Beitrag von HoSe mit diesem Beitrag zusammengefügt.

    • Neu
    Zitat von CurlY BracketS

    Du hast den von mir verlinkten Artikel nicht gelesen, stimmts?

    Natürlich habe ich den Artikel gelesen, mehrfach sogar, insbesondere in Bezug auf die Einstellungen für die CSP, um die es mir hauptsächlich geht. Die grün hinterlegten Anregungen ("Zum Mitnehmen") habe ich in dem http-plugin gesetzt.

    Aber was ich mit der Bemerkung meinte, ist, ich habe diese Einstellungen über die Entwicklerkonsole von Firefox nicht wiedergefunden. Das Tool von dataskydd.net zeigt mir die Festlegungen für die CSP über das plugin ebenfalls nicht an. In der Daetnbank sind sie vorhanden.



    Das führte letztlich zu meinen beiden Ausgangsfragen.

    • Neu

    Nebenbei: Ist mir selber beim Testen schon mehrfach passiert, dass ich einen Header aktiviert habe und dadurch das Backend nicht mehr korrekt angezeigt wurde. Es ist dann kaum mehr möglich an die entsprechende Stelle zu gelangen, um den Header wieder zu deaktivieren. In der DB kann man das dann zum Glück wieder rückgängig machen.

    • Neu
    Zitat von SniperSister

    Das Header Plugin speichert die Einstellungen in der Datenbank, PHP hängt die Header dann bei der Ausführung an.


    Etwaige Header aus der .htaccess werden dann zusätzlich angehangen.

    Danke für den Hinweis.

    Die Einstellungen habe ich in der Datenbank gefunden.


    Kann es sein, dass ein Tool wie dataskydd.net das nicht einlesen kann?


    Mir geht es vor allem um die Einstellungen für die CSP. Ich werde jetzt versuchen, mit einem CSP-Hash (Link) die Einstellungen in der .htaccess vorzunehmen, da alles andere für mich zu keiner zufriedenstellenden Lösung führt.


    PS: Dein PHP-Script zu den geschützten Downloads funktioniert hervorragend. Mittlerweile verwalte ich damit mehr als 100 Dateien in über 20 Unterordnern.

    • Neu
    Zitat von HoSe
    Mir geht es vor allem um die Einstellungen für die CSP. Ich werde jetzt versuchen, mit einem CSP-Hash (Link) die Einstellungen in der .htaccess vorzunehmen, da alles andere für mich zu keiner zufriedenstellenden Lösung führt.

    Nutze mal andere Analysetools zum Überprüfen? Eventuell Siwecos. Nur weil ein Tool da kein erwartetes Ergebnis anzeigt, würde ich nicht auf das Plugin verzichten wollen.

    Je nachdem, welche URL man angibt, kann es da durchaus zu unterschiedlichen Ergebnissen kommen. Manchmal liegt es beispielsweise einfach nur an einer ohne-www zu mit-www-Weiterleitung. Oder man verwendet Mehrsprachigkeit. Dort findet dann meist noch eine weitere Weiterleitung statt, wodurch die Analyse eventuell nicht optimal mögllich ist und dann manche Dinge nicht oder fehlerhaft angezeigt werden. Teste die möglichen URLs für die Startseite mal durch!

    So wie ich es auf die Schnelle gelesen habe, wird beispielsweise automatisch mittels http getestet, auch wenn du https eingibst.


    Auf einer meiner Seiten zeigt er mir beispielsweise einen fehlerhaften CSP-Header an, weil ich da (noch) mit "unsafe-inline" arbeiten muss. Besser wäre "unsicher" zu schreiben. Aber das ist ein anderes Thema.