Projekt eingestellt

Es wurde ein neues Addon entwickelt welches bald hoffentlich auch bei den FOR zu finden ist: https://github.com/iceman-fx/httpheader

Wichtige Info

• Mit den falschen Einstellungen kann es passieren, dass die Webseite nachhaltig nicht mehr wie gewünscht funktioniert!!
• Nicht alle Header werden von allen Browsern berücksichtigt. Wenn Du mehr wissen möchtest musst du googlen :-)
• Nach der Aktivierung des AddOns und jeder Änderung muß unbedingt die Webseite auf Ihre Funktion geprüft werden!
• Nicht übertreiben. Nicht immer ist es überall sinnvoll bei jedem test 100% zu erreichen! Nachdenken hilft.

Header testen

• https://siwecos.de
• https://securityheaders.com
• https://observatory.mozilla.org
• https://cspvalidator.org
• https://www.whatsmyip.org/http-headers/

Browser Plugins

Chrome

CSP Evaluator

• https://chrome.google.com/webstore/detail/csp-evaluator/fjohamlofnakbnbfjkohkbdigoodcejf?hl=de

CSP Mitigator

• https://chrome.google.com/webstore/detail/csp-mitigator/gijlobangojajlbodabkpjpheeeokhfa?hl=de

CSP Tester

• https://chrome.google.com/webstore/detail/csp-tester/ehmipebdmhlmikaopdfoinmcjhhfadlf?hl=de

Google Chrome Extension for 4ARMED's Content Security Policy Generator

• https://github.com/4armed/csp-generator-extension

Firefox

Laboratory (Content Security Policy / CSP Toolkit)

• https://addons.mozilla.org/en-US/firefox/addon/laboratory-by-mozilla/

Infoseiten (unsortiert und unvollständig)

• https://developer.mozilla.org/de/docs/Web/HTTP/Headers
• https://www.cspisawesome.com
• https://content-security-policy.com
• https://www.codingblatt.de/http-security-header-website-sicherheit-erhoehen
• https://www.scip.ch/?labs.20190214
• https://www.globalsign.com/de-de/blog/was-ist-hsts-wie-fuehren-sie-es-ein
• https://www.sgalinski.de/typo3-agentur/technik/security-header
• https://zinoui.com/blog/security-http-headers
• https://zinoui.com/blog/http-headers-for-wordpress
• https://8020webdesign.ch/hsts-http-security-headers
• https://www.selbstaendig-im-netz.de/webdesign/7-http-security-header-website-sicherheit/
• https://spacehost.de/10-apache-header-eintraege-webseite-sicher-machen/
• https://www.scip.ch/?labs.20180308

weitere Seiten folgen

HSTS preload list

• https://hstspreload.org
  Beachte, dass die Aufnahme in die Preload-Liste nicht einfach rückgängig gemacht werden kann!

ToDo

• CSS auslagern
• Funktionen erweitern
• Readme ergänzen
• Texarea für eigene Header angaben bereitstellen
• Prüfen ob Header schon gesetzt wurden

Autor

Friends Of REDAXO

• http://www.redaxo.org
• https://github.com/FriendsOfREDAXO

Projekt-Lead

getaweb / Oliver Kreischer