Page 1 of 2

Plugin Sec-Header_XH

Posted: Sat Jan 16, 2021 5:02 pm
by olape
This plugin helps to set up the various header instructions (security headers) included in the HTTP protocol, allowing to improve the security for the visitors of a website.

Not all settings and options are supported by all browsers.

Sec-Header_XH 1.0 beta1

Re: Plugin Sec-Header_XH

Posted: Sun Jan 17, 2021 1:17 am
by Michael_G
A perfect complement to the plug-in ADC-Core_XH (viewtopic.php?f=12&t=16396)

(deutsche Version: siehe nächster Beitrag)

Hi Olaf,

Thank you very much for this super useful plugin, which certainly involved a lot of work and took a lot of time.
Because security headers are really not an easy topic.
I have been dealing with this topic for about a year now and just the day before yesterday I discovered a security header that is hardly mentioned on the internet. So I put it in my .htaccess too.

This is just by way of introduction for all readers who have not yet dealt with it and in order to realise what a huge topic this small inconspicuous plug-in is tackling for its users.

I see, still sounds cryptic to the uninitiated. Sorry!
This is about the optimal protection of your website, preventing it from being taken over by bad guys.
Without the use of security headers, this is not as difficult for professionals as one might think.
Perhaps you have already heard of "man-in-the-middle attacks"? These security headers also help against them if implemented well.

Apart from the technical prerequisites, technical-analytical understanding should be present.
If you don't know the basics of security headers, you won't get very far or you will render your website completely or partially inoperable.

So: you don't have to be an IT expert, but if the website is operated commercially and absolutely has to be accessible, you should do some research first.
From my own experience with two hobby websites, I can say that the effort is worth it.

But: even if you have understood everything and set everything correctly, it can fail due to restrictions of the web hoster used.

This plugin is also very useful for professionals, as it is much more user-friendly to enter, check or change values in a self-explanatory input mask.
And those who are not so technically proficient, but have received precise instructions from a professional/read on the internet what they can optimise, do not need to load .htaccess and "read cryptic stuff". ;-)

Anyone tackling such a difficult issue needs good tools to check the result and quickly identify any misconfigurations …

My favourite tools for testing the website after implementation:
Attention: always tick the box for
[X] Don't include my site in the public results
[X] Do not show the results on the boards (so that hackers do not feel invited)

https://observatory.mozilla.org (without additional use of security headers, rating will never be better than «D»)
https://securityheaders.com (this analysis tool will also make your website look bad at first, but it offers further links to helpful pages.

https://scotthelme.co.uk/csp-cheat-sheet/
https://htaccessbook.com/important-security-headers/

Also good for many tips and tricks via .htaccess:
https://perishablepress.com/

Re: Plugin Sec-Header_XH

Posted: Sun Jan 17, 2021 1:23 am
by Michael_G
Eine perfekte Ergänzung zum Plugin ADC-Core_XH (viewtopic.php?f=12&t=16396)

(English translation: see previous post)

Hallo Olaf,

vielen herzlichen Dank für dieses supernützliche Plugin, welches sicher mit viel Arbeit verbunden war und viel Zeit gekostet hat.
Denn Security Header sind wirklich kein einfaches Thema.
Ich beschäftige mich mit dem Thema jetzt seit ziemlich gemau einem Jahr und habe gerade vorgestern noch einen Security Header entdeckt, der kaum im Internet erwähnt wird. Also packte ich den auch noch in meine .htaccess.

Dies nur zur Einleitung für alle Leser, die sich bisher noch nicht damit beschäftigen und um zu erkennen, welches gewaltige Thema dieses kleine unscheinbare Plugin da für seine Benutzer anpackt.

Ach so, klingt für Unbedarfte immer noch kryptisch. Sorry!
Es geht hier um den optimalen Schutz Deiner Website, Verhinderung der Übernahme durch böse Buben.
Ist ohne Einsatz der Security Header für Profis gar nicht so schwer wie man denkt.
Von „Man-in-the-Middle-Angriffen” hast Du vielleicht schon gehört? Dagegen helfen bei guter Implementierung diese Security Header auch.

Außer den technischen Voraussetzungen sollte technisch-analytisches Verständnis vorhanden sein.
Denn wer die Grundlagen für Security Header noch nicht kennt, kommt nicht weit oder macht seine Website ganz oder teilweise betriebsunfähig.

Also: man muss kein IT-ler sein, aber wenn die Website gewerbsmäßig betrieben wird und unbedingt erreichbar sein muss, sollte man sich zuerst schlau machen.
Aus eigener Erfahrung mit zwei Hobby-Websites kann ich sagen, dass sich der Aufwand lohnt.

Aber: selbst wenn man alles verstanden hat und alles korrekt einstellt, kann es an Restriktionen des genutzten Webhosters scheitern.

Auch für Profis ist dieses Plugin sehr nützlich, da es viel bedienungsfreundlicher ist, in einer selbsterklärenden Eingabemaske Werte einzutragen, zu prüfen oder zu ändern.
Und wer sich technisch nicht so gut auskennt, aber von einem Profi eine genaue Anweisung bekommen hat/im Internet gelesen hat, was er optimieren kann, braucht keine .htaccess laden und „kryptisches Zeugs lesen”. ;-)

Wer solch ein schwieriges Thema anpackt, braucht gutes Werkzeug, um das Ergebnis zu prüfen und eventuelle Fehlkonfigurationen rasch zu erkennen.

Meine Lieblingstools zum Testen der Website nach Implementierung:
Achtung: immer Häkchen setzen bei
[X] Don't include my site in the public results
[X] Do not show the results on the boards (damit Hacker sich nicht eingeladen fühlen)

https://observatory.mozilla.org (ohne zusätzlichen Einsatz von Security Headers wird Rating nie besser als D)
https://securityheaders.com (auch dieses Analysetool wird Deine Website erstmal schlecht dastehen lassen, bietet aber weiterführende Links zu hilfreichen Seiten.

https://scotthelme.co.uk/csp-cheat-sheet/

Außerdem für viele Tipps und Tricks per .htaccess gut:
https://htaccessbook.com/important-security-headers/

Außerdem für viele Tipps und Tricks per .htaccess gut:
https://perishablepress.com/

Re: Plugin Sec-Header_XH

Posted: Wed Mar 31, 2021 4:35 pm
by olape

Re: Plugin Sec-Header_XH

Posted: Fri Apr 16, 2021 5:17 pm
by cmb
Ich habe mir gerade mal Googles neues FLoC angeschaut, und bin sehr erfreut, dass man das mit Sec-Header_XH unterbinden kann. Danke Olaf!

Re: Plugin Sec-Header_XH

Posted: Fri Apr 16, 2021 5:29 pm
by frase
cmb wrote:
Fri Apr 16, 2021 5:17 pm
Ich habe mir gerade mal Googles neues FLoC angeschaut, und bin sehr erfreut, dass man das mit Sec-Header_XH unterbinden kann. Danke Olaf!
+1
Da schließe ich mich an - wenn auch einige alternative Chromium-Browser (die ich statt Chrome sowieso verwende) FLoC ohnehin nicht implementieren bzw. entfernen wollen.

Re: Plugin Sec-Header_XH

Posted: Fri Apr 16, 2021 6:39 pm
by olape
Hm, leider muss man sich trotz Plugin sehr intensiv mit dem Thema beschäftigen.
Aber ich wüsste nicht, wie ich das anders lösen sollte.

Und bei dem Plugin bin ich auch schon wieder hängen geblieben.
Da sollte es eigentlich schon eine neue Version geben.
Nur gut, dass im Moment noch so ein besch... Wetter ist.
Dann schleppt sich das wieder bis in den Herbst rein. :cry:

Re: Plugin Sec-Header_XH

Posted: Fri Apr 16, 2021 7:47 pm
by olape
cmb wrote:
Fri Apr 16, 2021 5:17 pm
und bin sehr erfreut, dass man das mit Sec-Header_XH unterbinden kann. Danke Olaf!
So, ist schon wieder lange her. Jetzt musste ich selber erst mal in einer aktuellen Site nachsehen.

Code: Select all

 interest-cohort=()
ist doch aber noch gar nicht drin. Wie kommst du darauf, dass das Plugin das schon kann.

Es wäre zwar leicht nachzurüsten, aber es gibt da auch noch einige andere offene Dinge.

Re: Plugin Sec-Header_XH

Posted: Fri Apr 16, 2021 8:38 pm
by cmb
olape wrote:
Fri Apr 16, 2021 7:47 pm
So, ist schon wieder lange her. Jetzt musste ich selber erst mal in einer aktuellen Site nachsehen.

Code: Select all

 interest-cohort=()
ist doch aber noch gar nicht drin. Wie kommst du darauf, dass das Plugin das schon kann.

Es wäre zwar leicht nachzurüsten, aber es gibt da auch noch einige andere offene Dinge.
Ich hatte nur einen schnellen Blick auf den Code geworfen, und da dort Permission-Policy angegeben war, ging ich davon aus, dass es verfügbar ist. Aber egal, die Nachrüstung sollte ein Klacks sein (man kann ja bei Bedarf den gewünschten Wert in policyfuncs.php direkt eintragen), und viel wichtiger, dass es zumindest grundsätzlich schon mal vorgesehen ist, und das hilft sicher dem ein oder anderen sich überhaupt mal mit diesem Thema zu befassen. :)

Re: Plugin Sec-Header_XH

Posted: Tue Apr 27, 2021 8:24 am
by olape
Version 1.0 beta2 ist verfügbar

- Erweiterung Permissions-Policy
--> interest-cohort --> Stoppt FLoC
- Feature Policy einzeln deaktivierbar

- experimentell:
--> COEP: Cross Origin Embedder Policy
--> CORP: Cross Origin Resource Policy
--> COOP: Cross Origin Opener Policy