Danke David..

Ich hatte das mit dem Cross-site Scripting in den Vorträgen zum JD18 aufmerksam verfolgt und hatte danach gleich überall den http Header geschützt..

Wenn es nur ein Hinweis ist, mache ich erst mal nicht weiter heiß, sonst ist der Abend weg und es ist nichts geworden..

Werde das Thema aber auf jeden Fall weiter verfolgen, denn auf einer einfacheren Joomla Seite habe ich das Problem nicht und eigentlich möchte ich das ganze richtig verstehen und die Lücken beheben..

Was ich noch fragen wollte, im Zusammenhang mit den JavaScript Libraries:

Mein Template nutzt alleine 3 Javascript Libraries und wahrscheinlich eines der Plugins noch eine vierte..

Das heisst auf einer Website kommen die Libraries jQuery Migrate, jQuery, LightBox und FancyBox und dann noch als Frameworks MooTools und TweenMax zum Einsatz..

Ich denke mal das ist weder für die o.g. "Sicherheitslücken", noch für den PageSpeed wirklich gut oder spielt das keine Rolle?

Ich bin eigentlich immer für "weniger ist mehr"..

Hallo zusammen,

ich versuche meine Seiten möglichst sicher zu gestalten und nehme mir u.a. Siwecos zur Hilfe.

Nun schnitt meine kleine Seite eigentlich immer nicht sooo schlecht ab, doch jetzt sind drei neue Punkte erschienen und bemängeln "unsicheren Javascript" und das meine Cookies sind nicht gesichert sind.

Thema Cookie Security:

Ich nutze die .htaccess von Christian Schmidt (Joomla Security),

kann ich dort die fehlenden Sachen:

• Des Secure Flag ist nicht gesetzt.
• Das HttpOnly Flag ist gesetzt.

ergänzen?

Bzw. gibt es da bereits bekannte Befehle für die htaccess, die nur ergänzt werden müssten?

Was beudetet "Secure Flag" überhaupt?

Das größere Problem wird sicher die Überprüfung des JavaScript-Codes nach DOMXSS-Sources und DOMXSS-Sinks.

In einem anderen Beitrag habe ich gelesen, dass eine Akutalisierung der jQuery Bibliothek hilft.

Leider finde ich in meinem Template keine direkte Bibliothek, unter templates/jp-host/js/ findet sich nur eine
theme.js mit 3 Zeilen Code.

Siwecos bemängelt:

siwecos.SINKSS_FOUND und "Es wurden „Sources“ gefunden."

Leider komme ich auch mit dem wiki von Siwecos nicht weiter, ganz stumpf gesagt: "Ich weiss nicht, was die von mir wollen.".

Ich wäre euch sehr dankbar über eine kleine Aufklärung,

was diese Sicherheitslücken überhaupt sind,

wie man sie finden kann und vielleicht auch beheben kann.

Vielen vielen Dank!!

Ohhhhhhhhhhhhhhh ihr Lieben,

ich habe gerade eine Mail von all-inkl bekommen.

Es handelte sich um eine "serverseitige Einschränkung", "das Problem wurde erkannt und behoben".

Oh Gottseidank.

Dankeschön trotzdem für eure Hilfe!!

Jetzt funktioniert wieder alles!

Danke für die Hilfe,

ich habe jetzt bei public $error_reporting = 'default'; - " maximum" eingetragen, aber ich weiss leider nicht, wie ich ein error reporting erstelle.

Ich muss jetzt auch erst einmal auf Arbeit, auch wenn mich das jetzt den ganzen Tag beschäftigen wird.

Ich habe nochmal auf PHP 7.1 gestellt, hat sich aber auch nichts getan.

Ich wüsste nicht, wo ich etwas verstellt haben sollte.

Das einzige was ich mache, sind die Updates regelmäßig einspielen, die es mir anzeigt, wenn ich mich im Backend anmelde.

Zuletzt hatte ich mal Akeeba, CookieHint, system_httpheader, googlefont-disable und VisForms aktualisiert.

Viel mehr an Plugins sind nicht installiert (JoomGallery, aber da war ewig kein Update) .

Wir sind halt ein Verein und machen alles selber, deswegen hab ich leider keinen Webdesigner, an den mich wegen dem Problem wenden kann.

Ich hatte die neuste Joomla Version vor ein paar Tagen eingespielt, danach ging auch alles ganz normal,

PHP 7.2 ist aktiviert, die Datenbank ist da.

Wie kann ich denn ein Backup einspielen, wenn ich mich nirgendswo anmelden kann?

DasBackup ist halt leider auch schon etwas älter.

Muss ich Joomla neu installieren um das Backup einzuspielen?

Unsere zweite Seite https://www.oberlausitzer-oldtimerwandern.de/ funktioniert ohne Probleme, ich habe dort eigentlich auch nichts anderes gemacht.

Ich habe all-inkl geschrieben, mal sehen ob da was zurück kommt.

Ach Mensch, so ein ein Mist.

Hallo,

ich habe ein ganz großes Problem,

wenn ich unsere Webseite https://oldtimermuseum-cunewalde.de/ aufrufen möchte kommt:

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator at webmaster@oldtimermuseum-cunewalde.de to inform them of the time this error occurred, and the actions you performed just before this error.

More information about this error may be available in the server error log.

Ich komme nirgends mehr hin, auch nicht in das Backend.

Die Seite ist überlebenswichtig für unseren Verein, vor allem so kurz vor unserem Saisonabschluß.

Bitte, bitte helft mir, ich weiss nicht mehr weiter.

Dankeschön!!

Yvonne