Security headers - Githubissues

minvws / nl-covid19-notification-app-website

Project website

https://coronamelder.nl

European Union Public License 1.2

173 stars 51 forks source link

Security headers #80

Closed EdoPlantinga closed 4 years ago

EdoPlantinga commented 4 years ago

Daarnaast is het sterk aan te raden óók alle Securityheaders die Internet.nl noemt goed te implementeren, inclusief een goede Content Security Policy en de Privacy Policy (heet inmiddels ‘Permissions Header’, zie https://w3c.github.io/webappsec-feature-policy/), zie ook https://securityheaders.com/

tomwassenberg commented 4 years ago

In de HSTS-header op https://coronamelder.nl wordt momenteel het preload-attribuut gebruikt, maar dit wordt niet erkend zonder ook includeSubDomains te gebruiken. Daarnaast moet de max-age op min. één jaar gezet worden, i.p.v. zes maanden.

Dit zijn beide eisen die door Chrome gesteld worden om daadwerkelijk gepreload te kunnen worden, zoals hier te zien en te verifiëren is.

mellewynia commented 4 years ago

Bedankt voor de tip, @tomwassenberg ! Dit neem ik mee.

NL-William commented 4 years ago

Check ook de tips op https://observatory.mozilla.org/analyze/coronamelder.nl.

Samengevat komt dat neer op:

referer header zetten (advies: strict-origin-when-cross-origin)
CSP met base setting, frame-ancestors (gelijke setting als x-frame-options) en form-actions parameters.

Tevens is het verstandig nog aandacht te geven aan:

CSP reporting inschakelen, zodat misbruik (XSS) naast dat het gestopt wordt door CSP ook gedetecteerd wordt.
Ook een Feature policy (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Feature-Policy) kan goed zijn om te zetten (eg. verbieden dat de site de camera aanzet, zelfs als iemand ooit een script erin krijgt die dat probeert).

NL-William commented 4 years ago

Mocht het DNS beheer ook in handen zijn (gaat net iets verder dan een header, maar past goed in het lijstje :)): zet vooral ook in DNS 'CAA', zodat niemand certificaten kan uitgeven voor dit domein behalve PKI Overheid zelf.

Meer info: https://blog.qualys.com/ssllabs/2017/03/13/caa-mandated-by-cabrowser-forum?

gberkouwer commented 4 years ago

tomwassenberg: > In de HSTS-header op https://coronamelder.nl wordt momenteel het preload-attribuut gebruikt, maar dit wordt niet erkend zonder ook includeSubDomains te gebruiken. Daarnaast moet de max-age op min. één jaar gezet worden, i.p.v. zes maanden.

Bedankt voor de tip, @tomwassenberg ! Dit neem ik mee.

En als dat goed staat zul je het domein ook nog wel moeten aanmelden op https://hstspreload.org/

bwbroersma commented 4 years ago

Ik wilde net deze issue melden na het lezen van de pentest waar ik de HSTS in zag met te lage max-age en zonder includeSubDomains, gek genoeg zeuren ze daar wel over dubbele Cache-Control header (in spec, bij welke software is dit een issue dan?) maar niet over deze :joy:.