Plugin ADC-Core_XH

Third Party Plugins to CMSimple - how to install, use and create plugins

Moderator: Tata

Post Reply
olape
Posts: 1636
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Plugin ADC-Core_XH

Post by olape » Fri Aug 07, 2020 7:40 pm

Version 1.0 beta1 for XH 1.7.3

https://olaf.penschke.net/?CMSimple_XH/ ... DC-Core_XH

This extension is based on the plugin ADC by Holger Irmler

olape
Posts: 1636
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Plugin ADC-Core_XH

Post by olape » Wed Jan 13, 2021 7:19 pm


Michael_G
Posts: 89
Joined: Thu Feb 18, 2016 11:01 pm

Re: Plugin ADC-Core_XH

Post by Michael_G » Thu Jan 14, 2021 9:36 am

Hallo Olaf,

gute Idee vor allem für diejenigen, welche sich mit .htaccess nicht genug auskennen oder einen schlechten Provider haben, der nicht alle Möglichkeiten der .htaccess zulässt.

Also nichts für mich, aber ich nutze das Plugin in der Vorgängerversion (1.0 beta1) zwecks Eliminierung von index.php.
Könnte ich auch mittels .htaccess abwickeln, aber keine der Varianten funktioniert bei mir einwandfrei.

Habe das Update auf 1.0 beta2 aber kurz ausprobiert und dann mit den üblichen Testseiten geschaut, ob HSTS weiterhin korrekt erkannt wird.
Leider negativ, also rasch wieder gelöscht und den guten Vorgänger installiert, der auch noch mit dem aktuellen CMSimple_XH läuft.
;)

Testseiten:
https://observatory.mozilla.org/
https://securityheaders.com/
https://hstspreload.org/ (ausgerechnet diese Seite ist eh etwas buggy, aber nicht im Ergebnis, nur in den Meldungen.
Eh ein Unding, dass Domains nicht direkt auf andere weiterleiten dürfen, da sie sonst wieder aus der Preload-Liste fliegen.
Dabei ist es der Sinn von HSTS, dass auch MITM-Attacken während Weiterleitung von einer auf die andere Domain nicht angreifbar sind, wenn eben der Browser gleich nur TLS benutzt und nicht erst beim 2. Laden der Webseite.

Wenn Du mal etwas mehr Zeit hast, kannst Du ein ähnliches Plugin bauen für CSP-Header. 8-)
Ebenfalls alles umschaltbar.
Das wäre dann sogar für Profis praktisch, denn wenn man Seiten online pflegen möchte, der CKEditor aber bis dahin immer noch nicht CSP-geeignet ist (5.0) und man deshalb data: 'unsafe-inline' 'unsafe-eval'; nutzen muss, kann man den entsprechenden Schalter im Admin-Backend/Plugin setzen und die Eingabemaske vom Editor wird nach Neuladen der Seite sichtbar.

Bis dahin habe ich zwei .htaccess-Dateien, eine supersichere (Rating A+) und eine fast genauso sichere (A), mit der aber der CKEditor bedienbar ist.
Sobald ich online meine Seiten editieren will, lade ich mittels FileZilla die Light-Version der .htaccess hoch.
Wenn fertig, wird wieder die Hochsicherheitsversion aktiv.

Die meisten Websites nutzen noch immer keine CSP-Header, sind daher wesentlich unsicherer als jede gut gemachte Website mit CSP und 'unsafe-inline' 'unsafe-eval'. Die haben dann Rating D bis F. :lol:
Ciao
Michael

olape
Posts: 1636
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Plugin ADC-Core_XH

Post by olape » Thu Jan 14, 2021 12:19 pm

Michael_G wrote:
Thu Jan 14, 2021 9:36 am
Habe das Update auf 1.0 beta2 aber kurz ausprobiert und dann mit den üblichen Testseiten geschaut, ob HSTS weiterhin korrekt erkannt wird.
Leider negativ, also rasch wieder gelöscht und den guten Vorgänger installiert, der auch noch mit dem aktuellen CMSimple_XH läuft.
Hm, dazu hätte ich schon gern ein paar Infos mehr. Meine Tests waren alle positiv.
Aktuell: https://securityheaders.com/?q=swiper-x ... directs=on
Wenn du die Optionen von HSTS nicht setzt bzw. ausfüllst, hast du die Funktionalität von beta1.
Michael_G wrote:
Thu Jan 14, 2021 9:36 am
Wenn Du mal etwas mehr Zeit hast, kannst Du ein ähnliches Plugin bauen für CSP-Header.
Das ist schon fast fertig (das war nämlich in der beta2 schon drin). Ist aber auch sehr komplex und pass auch nicht wirklich zu adc.
Deshalb habe ich mich dann doch entschieden ein extra Plugin daraus zu machen.

Und das ist bei XH auch nicht so ganz strikt durchsetzbar ohne die Funktion einzuschränken.
Aber das kann dann jeder selbst entscheiden was er da wo setzen will.
Damit muss man sich intensiv auseinandersetzen.

Dazu gehören Feature Policy bzw. Permission Policy und noch ein paar mehr.
Michael_G wrote:
Thu Jan 14, 2021 9:36 am
Bis dahin habe ich zwei .htaccess-Dateien, eine supersichere (Rating A+) und eine fast genauso sichere (A), mit der aber der CKEditor bedienbar ist.
Sobald ich online meine Seiten editieren will, lade ich mittels FileZilla die Light-Version der .htaccess hoch.
Wenn fertig, wird wieder die Hochsicherheitsversion aktiv.
Das Plugin wird das dahingehend lösen, das die Header nur gesetzt werden, wenn man nicht eingloggt ist.
Beim Bearbeiten sollte es da also keine Schwierigkeiten geben.

Michael_G
Posts: 89
Joined: Thu Feb 18, 2016 11:01 pm

Re: Plugin ADC-Core_XH

Post by Michael_G » Sat Jan 16, 2021 11:33 pm

Hallo allerseits,

hier folgt nach direkter Korrespondenz mit dem Plugin-Entwickler Olaf und erneuter Prüfung meine aktualisierte Bewertung.

Aber zuerst ein riesengroßes Dankeschön an Holger für sein Plugin ADC, welches die Vorlage für Olaf war, „da noch eins draufzusetzen”. :-)

ADC-Core_XH nutze ich schon seit Veröffentlichung in Version 1.0 beta1, allerdings nutzte ich die nur
- zum Entfernen der index.php aus der URL
- zur Korrektur encodierter URL-Separatoren

Mein Webhoster bietet kostenlose TLS-Zertifikate von Let´s Encrypt an und im Bestellmenü kann die Weiterleitung auf https: permanent (redirect 301) oder temporär (redirect 302) fest hinterlegt werden.
Also nutze ich das für meine Domains auch (redirect 301) und brauche weder per .htaccess noch Plugin nochmal eine Weiterleitung einstellen.
Bis zur Installation des Updates auf Version 1.0 beta2 stimmte das auch …

Nun hat Olaf HSTS implementiert und setzt die Aktivierung SSL: force voraus, was ich nicht gleich erkannte/anders interpretierte.
Deshalb schrieb ich in meinem ersten Test des Updates, dass es bei mir leider nicht funktioniert.

Fazit nach erneuter gründlicher Prüfung: sehr empfehlenswertes Plugin für sicherheitsbewusste Nutzer des schnuckeligsten CMS, welches ich kenne. :)

Aber Achtung!
HSTS ist super wichtig, aber man sollte, nein man muss sich mit dem Thema eingehend beschäftigen, bevor man das einfach planlos implementiert!
Vor allem die Aufnahme in die Preload-Liste, welche Mozilla und Google verwalten, muss gut geplant sein, weil man sich sonst vielleicht ein, zwei Jahre selbst von seiner Domain ausschließt, naja zumindest ein paar Wochen und den Leuten vom preload-Team unnötig Arbeit damit macht, sich wieder austragen zu lassen.
Für gewerbliche Nutzer also einerseits wichtig, diese Technik einzusetzen (EU-DSGVO: Sicherheit nach aktuellem Stand der Technik!), aber ohne gute Vorbereitung für einen Onlineshop wirkt das geschäftsschädigend, wenn man einen Fehler macht.
Sorgfalt ist hier das A und O.

Aus eigener Erfahrung mit zwei Hobby-Websites kann ich aber sagen, dass es sich lohnt, da Zeit reinzustecken und sich schlau zu machen.
Alle meine Domains sind so geschützt und zusammen mit Einsatz aller für Privatleute nützlichen Security-Header ziemlich sicher vor Man-in-the-Middle-Angriffen.
Die meisten Banken schützen ihre Websites/ihr Onlinebanking immer noch deutlich schlechter als ich meine reinen Hobby-Websites.
Bei vielen Clouds sieht es noch düsterer aus, aber ist ja klar, die müssen den „Diensten” zu Diensten sein. :lol:
:(
Schlapphüte wollen nicht lange umständlich den Schlüssel erbetteln …

Meine Lieblingstools zum Testen der Website nach Implementierung:
Achtung: immer Häkchen setzen bei
[X] Don't include my site in the public results
[X] Do not show the results on the boards (damit Hacker sich nicht eingeladen fühlen)

https://hstspreload.org (mit Empfehlung zur sorgfältigen Implementierung wie oben in Warnung erwähnt)
https://www.ssllabs.com/ssltest/ (für den Anfang erstmal nur Analysetool für TLS)

Hilfreiche Infos vom Experten Scott Helme
https://scotthelme.co.uk/hsts-cheat-sheet/

Wenn Du neugierig geworden bist, wie Du Deine Website weiter absichern kannst, helfen Dir folgende Seiten und das Plugin Sec_Header_XH (viewtopic.php?f=12&t=17027):
https://observatory.mozilla.org (ohne zusätzlichen Einsatz von Security Headers wird Rating nie besser als D)
https://securityheaders.com (auch dieses Analysetool wird Deine Website erstmal schlecht dastehen lassen, bietet aber Links zu hilfreichen Seiten.
Ciao
Michael

Post Reply