Ich verzweifle grade an den Einstellungen zur Sicherheit. Jedesmal, wenn ich den header setze zur CSP, dann zerschießt es mir die Seite. Kennt sich da jemand mit aus? Gesetzt hatte ich Header set Content-Security-Policy "default-src 'self'; script-src 'self'; object-src 'self'; style-src 'self'; img-src 'self'; media-src 'self' ; frame-src 'self'; font-src 'self' https; connect-src 'self'" Zeilenumbrüche dienen nur der Übersichtlichkeit
Das geht in einem Standardshop schon mal schief. Da werden auch mal Ressourcen von extern geladen, wie Webfonts von Google z.B., oder Logos für Zahlungsanbieter. Oder du hast Analytics drin... Ich rate da zur Zurückhaltung, eine CSP ist noch kaum ein Vertrauensfaktor für irgendwen, sonst wirds umständlich.
Nun, ich weiß nicht warum es passiert ist, versuche nur die Ratschläge des Service Providers zu befolgen und das sieht nunmal auch die CSP vor
Find lieber die Ursache. Wenn der Shop älter ist, dann achte darauf dass die veröffentlichten Sicherheitsupdates drin sind. Wenn PHP alt ist nutze eine aktuelle Version. Verwende sichere FTP-Passwörter. Verwende sichere Login Passwörter. Habe keine ungeischerten Hilfstools wie MySQL Dumper auf deinem Webspace. Aktualsiere parallel liegende Anwendungen wie Wordpress auf sichere Versionen. Wenn das alles stimmt, ist das Risiko sehr sehr gering.
das stimmt alles. Nach endlosen Nachforschungen stellte sich heraus, dass es am Provider lag, über den wir den email Verkehr abwickeln......
Wir können auch mal schauen ob wir irgendwie was vorbereiten können um CSPs im Zukunft im Standard zu setzen. Das wird aber kompliziert schätze ich.
Das wäre toll. Wird mir von allen seiten empfohlen. Es gibt da ein Tool von Mozilla zum Testen der Sicherheit der Webseite, durch das fehlende CSP bekommen wir immer nur ein B. Aber es soll helfen, Cross Site Scripting zu verhindern. Wie auch immer das funktioniert
Die Logik ist einfach. Du legst fest, welche Quellen für Scriptinhalte in Ordnung sind, alle anderen sind verboten. Wenn www.shop.de dann aufgrund einer Lücke versucht Javascript von www.absurdistan.ab/truelyseriousurl zu laden, blockiert der Browser das. Du hast nur 2 Probleme: Du bindest irgendwo im Footer ein, dass ein Javascript geladen wird von z.B. Trusted Shops, in dem du da mal eben einen Schnippsel reinlädst. Das funktioniert dann nicht mehr ohne die Policy zusätzlich von Hand fachmännisch passend zu ändern. Mal eben das Facebook Page Plugin einbinden? Schon musst du 5 nicht leicht erratbare externe Orte freigeben. Das würde so manchen unserer Kunden fordern, ich schätze dich auch. Inline Javascript ist quasi tabu. Javascript muss mehr oder minder immer in eigene Dateien ausgelagert werden. Das wird manche Sachen kaputt machen. Wir haben da also ein hohes Betriebsrisiko für den Händler, das nicht leicht überschaubar zu machen ist. Da werden Beschwerden kommen wir kompliziert das ist. Vermutlich kann sowas nur eine standardmässig abgeschaltete Expertenoption sein, wo wir mit einem Freitextfeld dann entsprechend vom Händler Dinge in eine Whitelist eintragen lassen. Damit hätten wir die Angabe und Aktivierung vereinfacht, können dem Händler aber ziemlich sicher nicht automatisch die Erzeugung der Whitelist abnehmen.
Das würde mich tatsächlich fordern, das habe ich in den letzten Tagen schon festgestellt. Ich habe verzweifelt die Lücke beim Mailprogramm gesucht und die Logs durchforstet und Google befragt - bis ich dann darauf kam, die Mailadressen werden vom Provider verwaltet, sind nicht im Server angelegt - die hatten wir schon bevor wir den Server bekamen. Dafür sind jetzt alle Seiten bis auf den Shop A+, ist ja auch etwas wert. Ich denke mal Whitelists anlegen ist zwar mühsam aber machbar. Safety first.