WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

Du bist nicht angemeldet.

#1 14.09.2018 09:01:23

batscher
Mitglied

siwecos.de Header Scanner - Sicherheitsrisiken?

Liebe Community,
auf unserer Website läuft ein Website-Scanner siwecos.de/ueber-das-projekt/feature-uebersicht/ der mich beim Punkt Header Scanner bzgl. des WBCE Headers nachdenklich macht.

Der Header Scanner zeigt folgende Fehler an:

  • Content Security Policy Inaktiv
    Die Content-Security-Policy ist eine strukturierte Vorgehensweise, welches das Injizieren und Ausführen von evtl. bösartigen Befehlen in einer Webanwendung (Injection-Angriffe) mildern soll. Es stellt über eine Whitelist dar, von welchen Quellen z.B. Javascript, Bilder, Schriftarten und andere Inhalte auf Ihrer Seite eingebunden werden dürfen.
    Mehr Informationen - siwecos.de/wiki/Content-Security-Policy-Schwachstelle/DE

  • HSTS Schutz Fehler
    Strict-Transport-Security (HSTS) stellt sicher, dass die Webseite für eine bestimmte Zeit lediglich über HTTPS gesicherte Verbindung aufgerufen werden kann. Der Webseitenbetreiber kann diesbezüglich u.a. definieren, wie lange das Zeitinterval ist und ob diese Regelung auch für Subdomains gelten soll.
    Mehr Informationen - siwecos.de/wiki/Keine-Verschluesselung-Gefunden/DE

  • X-Content-Type Header fehlt
    Die X-Content-Type-Options Einstellungen im Header verhindern, dass der Browser Dateien als etwas anderes interpretiert, als vom Inhaltstyp im HTTP-Header deklariert wurde. Die Headereinstellungen sind hier nicht gesetzt.
    Mehr Informationen - siwecos.de/app/#/domains

  • HTTP-Header X-Frame Optionen nicht gesetzt.
    X-Frame-Options hilft dabei Angriffe über Framing-Mechanismen zu unterbinden. Dies gewährleistet bspw., dass Clickjacking-Angriffe größtenteils gemildert werden können. Darüber hinaus werden Downgrading-Angriffe wie etwa im Internet Explorer minimiert.
    Mehr Informationen - siwecos.de/wiki/X-Frame-Options-Schwachstelle/DE

  • Cross-Site-Scripting Schutz nicht aktiviert oder unzureichend konfiguriert.
    Der HTTP-Header X-XSS-Protection definiert wie in Browser eingebaute XSS-Filter konfiguriert werden. Eine Default-Installation kann eine unzureichende Konfiguration offenbaren.
    Mehr Informationen - siwecos.de/wiki/XSS-Schwachstelle/DE

Was tun?
Unsere Seite ist von 1&1 gehostet. (Webhosting Basic)
Herzlichen Dank für eure Hilfe.

Gruß Christoph

Offline

#2 14.09.2018 10:28:49

cwsoft
Mitglied

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Hallo Christoph,

der Scanner sucht nach Header bzw. Metaangaben im HTML Code Deiner Seite. Die meisten Angaben kannst Du selbst innerhalb der <head></head> Tags Deines Templates eintragen. Das nötige Templatedatei findest Du im Webverzeichnis auf dem Server im Pfad /templates/xy/index.php. Fu kannst die Datei über ein Ftp Tool oder über ein Admintool wie AFE (Addon File Editor) ändern.

Einige Einstellungen können auch über eine .htaccess Datei auf Serverbasis eingestellt werden.

Frage doch mal denjenigen der den Scanner angeschmiessen hat, welche Einstellungen (Meta, Header, Server) Du für die einzelnen Werte einstellen sollst und poste das dann nochmal hier.


Gruss

Beitrag geändert von cwsoft (14.09.2018 15:22:50)


Account inactive since 2018/11/17.

Offline

#3 17.09.2018 08:15:55

batscher
Mitglied

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

cwsoft schrieb:

Hallo Christoph,
...
Frage doch mal denjenigen der den Scanner angeschmiessen hat, welche Einstellungen (Meta, Header, Server) Du für die einzelnen Werte einstellen sollst und poste das dann nochmal hier.
...
Gruss

Guten Morgen,
wenn ich die Hilfen anklicke erscheinen folgende Tipps:

Können diese Tipps nicht bereits in die Core Themes übernommen werden? Ich nutze wbce_hortal.
Danke.

Aufgrund des Headerscans beträgt die Websitescore "nur" 83 statt 100.

Gruß Christoph

Beitrag geändert von batscher (17.09.2018 08:17:07)

Offline

#4 17.09.2018 18:21:08

cwsoft
Mitglied

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Hallo,

hast Du die Meta Angaben schon mal in die index.php Deines Templates übertragen und dann den Scanner nochmal angeschmiessen?

Falls der Score dann besser ist und es keine HTML Fehler gibt, könntest Du Deinen dafür relevanten <head> Abschnitt ja mal hier posten. Dann stünden die Chancen wohl deutlich besser, das in die nächste Version zu übernehmen. Open Source lebt auch immer ein bischen von aktiver Mitarbeit wink

Beitrag geändert von cwsoft (17.09.2018 18:22:20)


Account inactive since 2018/11/17.

Offline

#5 17.09.2018 19:15:24

bernd
Developer

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Wobei man bedenken/beachten sollte, daß außer "Content-Security" (1.Punkt der obigen Liste) alle anderen header als Meta-Angaben nicht funktionieren sondern explizit als HTTP-Header gesendet werden müßen ...


... nein in Europa verwenden wir beim Programmieren nicht € statt $ ...

Offline

#6 17.09.2018 19:50:10

batscher
Mitglied

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Hallo Cwsoft,
ich habe alles versucht, komme aber nicht weiter.
sad
Ich habe es mit der Beispiel .htaccess Datei https://siwecos.de/wiki/Htaccess#Beispieldatei versucht. Diesen Inhalt in die im rootverzeichnis meines Webspaces vorhandene .htaccess Datei angehängt. Und diese .htaccess Datei auch in  /templates/wbce_hortal kopiert. Dies brachte jedoch keine Veränderung des Scores von 16 für den Head bzw. insgesamt 83.
Zudem habe ich den Teil

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'">
<meta http-equiv="X-Content-Security-Policy" content="default-src 'self'; script-src 'self'">
<meta http-equiv="X-WebKit-CSP" content="default-src 'self'; script-src 'self'">

in den Head der index.php Datei in wbce_hortal eingefügt.
vgl. https://wiki.selfhtml.org/wiki/Sicherhe … ity_Policy
bzw.
https://wiki.selfhtml.org/wiki/JavaScri … erenzieren
Da in der hortal index.php Datei nicht mit JavaScript Dateien gearbeitet wird, sondern mit JavaScript in HTML, vgl.

https://wiki.selfhtml.org/wiki/JavaScript/Tutorials/Einstieg/Einbindung_in_HTML#JavaScript-Dateien_in_HTML_referenzieren schrieb:

Das direkte Notieren von JavaScript in HTML ist im Allgemeinen schlechte Praxis. Viel besser ist es, Scripte in eigenen Dateien zu notieren und diese dann einzubinden. Die Datei wird an der entsprechenden Stelle so ausgeführt, als ob der Code direkt notiert wurde. Sie können diese externen JavaScript-Dateien in beliebig viele Webseiten einbinden.

wurde der Inline Javascript Code nicht mehr ausgeführt, was zur Folge hatte, dass das Suchfeld auf meiner Statseite mit dem Suchsymbol nicht mehr richtig dargestellt wurde.

Ich wäre sehr froh, wenn sich jemand diesem Problem annehmen könnte.
Vielleicht findet sich ja noch jemand, der sich den kostenlosen Scanner https://siwecos.de/app/#/register auf seiner Website integriert und dann das Standardtheme wbce_hortal so angepasst bekommt, dass der Headerscanner nicht mehr diese 5 Fehler (siehe Bild im Anhang) findet!
Bin gespannt.

Herzlichen Dank schon mal vorab!!!

Herzliche Grüße Christoph

Offline

#7 17.09.2018 21:44:05

grindmobil
Gast

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Javascript in hortal:
Wie immer werden einige Variable direkt im template gesetzt, das ausgelagerte JS nutzt diese. Es ist sehr schwierig, alles JS auszulagern, und auch absolut für'n Hugo.

Wie üblich sind derartige Tests nur für idealisierte Umgebungen brauchbar.

Ich kann dir noch ein paar weitere vorschlagen, an denen du dir die Zähne ausbeissen kannst. Für manche wird das zum Hobby.

#8 17.09.2018 22:12:29

bernd
Developer

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Senden der Header per .htaccess:
das setzt natürlich voraus das der Hoster bzw. die verwendete Server-Software diese Header auch unterstützt.
Hatte selber erst kürzlich den Fall das der HSTS-Header per .htaccess nichts bewirkt hat, hatte dann auf Nachfrage vom Hoster erfahren, daß die derzeit verwendete Server-Software dies noch nicht unterstütze ...


... nein in Europa verwenden wir beim Programmieren nicht € statt $ ...

Offline

#9 18.09.2018 05:21:07

batscher
Mitglied

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Hoffe es findet sich doch jemand, der diese Sicherheitsrisiken auch ohne .htaccess beseitigen kann, so dass alle von einem noch sichereren WBCE profitieren können.
Danke.

Offline

#10 18.09.2018 08:25:24

florian
Administrator

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Zunächst mal Danke für die Anregungen zur Verbesserung der Sicherheit.

Am Inline-Javascript führt (noch) kein Weg vorbei. Damit der CSP-Header verwendet werden kann und Inline-JS weiter ausgeführt werden kann, muss die Anweisung vermutlich wie folgt lauten:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' 'unsafe-inline'">

(Vgl.
https://developer.mozilla.org/en-US/doc … script-src
https://www.rpkamp.com/2018/05/23/conte … avascript/
)

Perspektivisch wären die ganzen Header etwas für einen Output Filter, so dass die Benutzer selbst entscheiden können, ob sie die Anweisungen verwenden möchten. Da diese ja auch per php-Befehle header() gesetzt werden können, müssten in dem Falle nicht mal die Templates ergänzt werden.


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#11 18.09.2018 09:17:23

grindbatzn
Gast

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Hier wird so getan, als gäbe es bestimmte Sicherheitslücken in WBCE

Tatsächlich geht es um Serverkonfigurationen, die dieser (mir bisher unbekannte) Check auch bei jedem anderen System anzeigen würde, also auch bei Wordpress, Joomla,.. sonstwas.

Die vorgeschlagenen http-Header haben ja wohl auch Auswirkungen auf das Funktionieren der Website (Einschränkungen) und können nicht so einfach mal pauschal für alle Nutzer vorgegeben werden.

#12 18.09.2018 09:20:45

florian
Administrator

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Die vorgeschlagenen http-Header haben ja wohl auch Auswirkungen auf das Funktionieren der Website (Einschränkungen) und können nicht so einfach mal pauschal für alle Nutzer vorgegeben werden.

Deshalb habe ich ja auch geschrieben:

Perspektivisch wären die ganzen Header etwas für einen Output Filter, so dass die Benutzer selbst entscheiden können, ob sie die Anweisungen verwenden möchten

Von Zwangsbeglückung ist nirgens die Rede.


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#13 18.09.2018 11:57:48

colinax
Developer

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Zumal ist der Check noch in der Beta Phase.

Bei mehreren Webseiten die ich mit Google und Bing verglichen habe, kam fast dasselbe raus:

IMHO:

Der Headerscanner ist zu vernachlässigen und alle anderen sollten min. 98% erhalten.

Grund: Meine getesteten Seiten haben bis auf 3 Parameter (die sich im Header Scanner befinden) dasselbe Ergebnis die Google und/oder Bing erzielt.

Das einzige das ins Template kann ist der CSP (alles andere ist ja Server seitig), nur dass dieser per Default deaktiviert sein muss, damit es keine Probleme alla "Mein CDN Script funktioniert nicht" gibt - also kann man den CSP gleich weg lassen und die die es brauchen sollen es selber einbauen.

Offline

#14 19.09.2018 05:36:54

batscher
Mitglied

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Danke für eure Rückmeldungen.

florian schrieb:

Perspektivisch wären die ganzen Header etwas für einen Output Filter, so dass die Benutzer selbst entscheiden können, ob sie die Anweisungen verwenden möchten. Da diese ja auch per php-Befehle header() gesetzt werden können, müssten in dem Falle nicht mal die Templates ergänzt werden.

Wenn ich das richtig verstehe, könnte dann jeder, der es möchte, 100% erreichen.

Offline

#15 19.09.2018 06:13:27

florian
Administrator

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

theoretisch. Praktisch wird das aber nur mit sehr wenigen bzw. nur mit unter diesen Aspekten selbst entwickelten Templates und Websites, die komplett ohne Inline-Javascript auskommen, möglich sein. Bei allen anderen scheitern die 100% an script-src 'self' 'unsafe-inline', da sonst z.B die Suche oder die Navigation oder Formulare usw. nicht mehr funktionieren.


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#16 19.09.2018 07:54:08

batscher
Mitglied

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Hallo Florian,
dann versuche ich mich wegen dem Header Scanner nicht verrückt zu machen und warte ab, ob nach dem nächsten WBCE Update ein höherer Score angezeigt wird.
smile
Gruß Christoph

Offline

#17 19.09.2018 09:09:48

florian
Administrator

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Das wird nicht der Fall sein. Wie gesagt, aus Kompatibiltätsgründen kann die Ergänzung der Header nicht einfach den Benutzern aufgezwungen werden.
Ich mache mal ein Issue dazu auf, damit wir es nicht vergessen, und wenn es sich realisieren lässt, gibt es dann möglicherweise über die Outputfiltereinstellungen die Option, die Headerangaben manuell zuzuschalten. Versprechen kann ich aber nichts.


Code allein macht nicht glücklich. Jetzt spenden!

Offline

Liked by:

screamindan

#18 19.09.2018 21:23:13

batscher
Mitglied

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Danke für diese gute und individuelle Lösung!
smile

Offline

#19 20.09.2018 18:59:55

hamburgerhans
Gesperrt

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

bernd schrieb:

Senden der Header per .htaccess:
das setzt natürlich voraus das der Hoster bzw. die verwendete Server-Software diese Header auch unterstützt.
Hatte selber erst kürzlich den Fall das der HSTS-Header per .htaccess nichts bewirkt hat, hatte dann auf Nachfrage vom Hoster erfahren, daß die derzeit verwendete Server-Software dies noch nicht unterstütze ...

Das scheint "fast überall" so zu sein. Es fehlt, wenn es z.B. ein Apache-Server ist, ein Modul.
Da der HSTS-Header nur SSL betrifft, keinen Einfluß auf andere Resourcen nimmt, kann man mit einer Anweisung im Template die Meldung bei siwecos.de zu HST "in grün" bekommen big_smile

<?php
header ('Strict-Transport-Security: max-age=63072000; includeSubdomains');
?>

Mit den anderen Headern -bis auf Content Security Policy (CSP)- verhält es sich ebenso, wenn ich recht erinnere, man darf mich korrigieren, sind also nur entsprechend zu ergänzen.
Die Content Security Policy (CSP) Header plus Optionen sind nur nach sorgfältigen Vorüberlegungen zu setzen, da die im Template angeforderten Resourcen maßgebend sind. Da kann schon mal versehentlich etwas "ausgesperrt" werden.
Gruß, HH

Ein kleiner Nachtrag, damit es durchgehend grün leuchtet.

<?php
header ('Strict-Transport-Security: max-age=63072000; includeSubdomains');
header('X-Content-Type-Options: nosniff');
header('X-XSS-Protection: 1; mode=block');
header('X-Frame-Options: DENY');
header("Content-Security-Policy: default-src 'self'; script-src 'self'");
?>

Der genannte Dienst scheint aktuell noch Probleme mit diversen CSP-Optionen zu haben, so zumindest mein Eindruck.. Werden bestimmte genutzt, wird dies fehlerhaft angezeigt. Deshalb ist die angegebene Zeile etwas kurz ausgefallen. Vielleicht habe ich mich beim Test auch nur vertippt.

Beitrag geändert von hamburgerhans (20.09.2018 20:21:25)

Offline

Liked by:

bernd, cwsoft

#20 21.09.2018 13:28:51

ice
Mitglied

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

hamburgerhans schrieb:
bernd schrieb:
<?php
header ('Strict-Transport-Security: max-age=63072000; includeSubdomains');
?>

Bei All-inkl z.B. kann man den HSTS-Wert über die Verwaltungsoberfläche des KAS einstellen. Die Verwaltungsoberfläche warnt einen davor, dass wenn man diese Einstellung setzt, dass die Webseite bei einer zu langen eingestellten Dauer nicht mehr aufrufbar ist, wenn z.B. das Zertifikat zurückgezogen wurde.

Ich habe bei einem Bekannten die SSL Verschlüsselung rückgängig gemacht, weil es ihm zu teuer war. Ob das jetzt sinnvoll ist, steht auf einem anderen Blatt. Let's encrypt Zertifikate sind zwar kostenlos, aber nicht immer auch bei den kleinsten Webhostingpaketen wählbar. Wäre dieser HSTS-Wert zu hoch gewesen, so hätten seine Stamm-Besucher (Wird ja Clientseitig gespeichert) lange warten müssen, ehe sie die Seite wieder anschauen könnten. Deswegen sollte das Template (aus dem WBCE-Repository) meiner Meinung nach, diesen Wert nicht einfach per default auf maximum setzen. Der Webseitenbetreiber sollte es selbst in der Hand haben, diesen zu setzen.
Ich sehe den Fehler also jetzt wirklich nicht am Template.

Sehr viele Informationen dazu: https://hosting.1und1.de/digitalguide/w … absichern/

Beitrag geändert von ice (21.09.2018 13:33:52)

Offline

Liked by:

florian

#21 21.09.2018 14:45:49

hamburgerhans
Gesperrt

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Ich ging und gehe davon aus, daß sich die Benutzer bei Headervariationen um die Optionen selbst kümmern, da es wie bei CSP u.a. prinzipiell keine allgemeingültige Lösung gibt. Es kann sich nur um grundsätzliche Vorschläge handeln, die den persönlichen Erfordernissen anzupassen sind. Der Webseitenbetreiber allein, wie richtig festgestellt,  hat die Aufgabe dies umzusetzen. Vorgaben können in diesem Falle eher zur Stolperfalle werden, statt nutzbringend zu sein.

Wer sich auf diese Arbeitsebene begibt, muß jedoch den Aufwand des Lesens daher schon auf sich nehmen.    Das nächste Gewitter kommt auch bestimmt. big_smile
Gruß, HH


Ergänzend:

ice: Die Verwaltungsoberfläche warnt einen davor, dass wenn man diese Einstellung setzt, dass die Webseite bei einer zu langen eingestellten Dauer nicht mehr aufrufbar ist, wenn z.B. das Zertifikat zurückgezogen wurde.

  Hier verweise ich gerne auf https://tools.ietf.org/html/rfc6797#section-8.1, wo die Direktive für einen solchen Fall angezeigt wird.

Beitrag geändert von florian (21.09.2018 19:02:28)

Offline

#22 28.09.2018 09:33:39

hamburgerhans
Gesperrt

Re: siwecos.de Header Scanner - Sicherheitsrisiken?

Noch ein meines Erachtens wichtiger Nachtrag zu den Zertifikaten bei "kleinen Webhosterpaketen":
Let's encrypt Zertifikate oder andere freie sind nicht unbedingt erforderlich, es dürfen auch "selbst signierte Zertifikate" sein, wie in https://tools.ietf.org/html/rfc6797#section-11.3 angesprochen.
Das sollte ein Hoster als Hintertürchen schon bereitstellen.
Gruß, HH

Offline

Fußzeile des Forums

up