Plugin Sec-Header_XH
Dieses Plugin hilft bei der Einrichtung der verschiedenen Header-Anweisungen (Security Header), die im HTTP-Protokoll enthalten sind, und ermöglicht so eine Verbesserung der Sicherheit für die Besucher einer Website.
Nicht alle Einstellungen und Optionen werden von allen Browsern unterstützt.
Die Konfigurationmöglichkeiten dieser Erweiterung sind teilweise so variabel, dass es nur bei wenigen möglich ist, wählbare Vorgaben bereitzustellen. Das Thema ist recht komplex und benötigt eine gewisse Einarbeitung.
Referrer-Policy
Steuert, wie viele Referrer-Informationen (die über den Referer-Header gesendet werden) in der nächsten Anfrage enthalten sein soll.
X-Content-Type-Options
Nur korrekte Styles und Scripte werden geladen. Unterbindet das "Erraten" des Dateityps durch den Browser.
X-XSS-Protection Header
Aktiviert den Schutzfilter im Browser.
Content Security Policy
Es werden nur Dateien aus explizit erlaubten Quellen geladen.
Feature-Policy, Permissions-Policy
Verhindert bzw. steuert beispielsweise die Nutzung von Webcams, Mikrofonen oder Sensoren auf der Seite.
Feature-Policy ist "deprecated". Ab Version 1.0 beta2 kann man Feature-Policy einzeln deaktivieren.
Ich würde aber empfehlen Feature-Policy weiterhin auf aktiv zu belassen.
- Feature-Policy - developer.mozilla.org
- Permissions-Policy - www.w3.org
- Feature-Policy - caniuse.com
- Permissions-Policy - caniuse.com
Permissions-Policy: interest-cohort (Google FLoC)
COEP CORP COOP (experimentell)
- COEP CORP COOP
- Cross-Origin-Embedder-Policy - developer.mozilla.org
- Cross-Origin Resource Policy - developer.mozilla.org
- Cross-Origin-Opener-Policy - developer.mozilla.org
Installation
PHP ab Version 5.6
(Sie sollten min. Version 7.3 einsetzen!, Stand 04/2021)
Für CMSimple_XH Versionen ab 1.7.3.
Um das Plugin zu installieren, einfach den entpackten Ordner sec_header in den Pluginordner laden.
Möglicherweise, abhängig vom Webserver müssen noch Dateirechte angepasst werden.
Wird PHP als CGI oder FastCGI ausgeführt, ist ein Anpassen der Dateirechte nicht notwendig.
Wenn PHP als Apache-Modul ausgeführt wird, müssen noch Rechte für
folgende Dateien:
- die Konfigurationsdatei (/plugins/sec_header/config/config.php)
- den Stylesheet (/plugins/sec_header/css/stylesheet.css)
- die entsprechende(n) Sprachdatei(en) (/plugins/sec_header/languages/xx.php)
geändert werden (0666), falls man diese über das Backend bearbeiten möchte.
Die Ordner:
- /plugins/sec_header/css/
-
/plugins/sec_header/config/
- /plugins/sec_header/languages/
benötigen in diesem Fall 0777.
FileZilla Client Tutorial (de)
- 644 - der Standardwert für Dateien - nur der FTP-Benutzer kann Dateien ändern / schreiben
- 666 - auch PHP-Prozesse können Dateien beschreiben.
- 755 - der Standardwert für Ordner - nur der FTP-Benutzer kann Dateien ändern / schreiben
- 777 - der Ordner hat Vollzugriff, d.h. auch Scripte können darin schreiben.
Fragen, Hinweise, Fehlermeldungen zu Sec-Header_XH
Sec-Header_XH im CMSimple_XH Forum
Gern nehme ich auch Informationen entgegen, auf welchen Seiten das Plugin Sec-Header_XH eingesetzt wird.
Ich möchte keine Statistik führen oder gar veröffentlichen. Es geht einfach darum, zu wissen, ob weiteres Arbeiten an diesem Plugin sinnvoll ist.
Sec-Header_XH kann unter Einhaltung der GPLv3 verwendet werden.
Version 1.0 beta2 für CMSimple_XH Versionen ab 1.7.3
Update von Version 1.0 beta1 auf 1.0 beta2
Softwareentwicklung ist teilweise sehr aufwendig und findet, für jede hier angebotene Software, in meiner Freizeit statt. Daher freue ich mich über jede Unterstützung. Zum Teil wird damit z.B. einfach diese Website finanziert.
Außerdem bringt eine kleine Anerkennung zwischendurch immer wieder etwas Schwung in die Entwicklung.