Navigation

Springe zum Hauptinhalt
Universitäts­rechen­zentrum
Web-Sicherheit

Web-Sicherheit

Sicherheitsaspekte spielen auch für die Webserver der TU Chemnitz eine immer größere Rolle, weil unsere Server

  • von einer großen Zahl von Webautoren benutzt werden,
  • Programmierlücken erschreckend schnell ausgenutzt und missbraucht werden,
  • schützenswerte Daten enthalten, die nur Berechtigten zugänglich gemacht werden sollen.

Ein Hinweis voran: Eine absolute Sicherheit werden wir auf den allgemeinen Webservern nicht erreichen können. Sensible Daten dürfen deshalb nur über geeignete dedizierte Server (z.B. über PROWeb-Server) und geeignete Verschlüsselungsverfahren zugänglich gemacht werden. Aber auch dann ist sorgfältige Programmierung nötig!

Sicherheitseinstellungen der zentralen Webserver

Seitenabrufe für die zentralen Webserver sind nur noch über https verschlüsselt möglich (HTTP Strict Transport Security). Weitere Hinweise unter Gesicherter Webzugriff via HTTPS.

Das Darstellen der Webseiten der TU Chemnitz in Frames ist aus Sicherheitsgründen nur auf unseren eigenen Webseiten gestattet. Dafür werden flgende HTTP-Header gesetzt:

  • Content-Security-Policy: frame-ancestors 'self'
  • X-Frame-Options: SAMEORIGIN

Wenn Sie für Ihre Seiten die Anzeige in Frames anderer Webserver erlauben wollen, müssen Sie in die .htaccess bspw. schreiben:

Header set Content-Security-Policy "frame-ancestors https://www.example.com"
Header set X-Frame-Options "ALLOW-FROM https://www.example.com"
Der Header Content-Security-Policy ist wesentlich flexibler als X-Frame-Options und wird inzwischen von modernen Webbrowsern beachtet. Wenn man möchte, dass seine Webseiten von allen Servern einer Domain als Frame verwendet werden können, schreiben Sie ins .htaccess:

# Alle Seiten auf tu-chemnitz.de erlauben:
Header set Content-Security-Policy "frame-ancestors *.tu-chemnitz.de"
# Das geht mit X-Frame-Options nicht, daher schalten wir den ab:
Header unset X-Frame-Options

Mit Content-Security-Policy können weitere Sicherheitseinstellungen vorgenommen werden. Sie können festlegen, woher externe Inhalte, wie z. B. JavaScript, CSS, Bilder oder Fonts, geladen werden dürfen. Damit können Sie Ihre Webseiten sicherer machen.

# Javascript, CSS etc. nur vom eigenen Server und www.tu-chemnitz.de, kein inline-Javascript
Header set Content-Security-Policy "default-src 'self' https://www.tu-chemnitz.de"

Weitere Informationen: Content-Security-Policy, X-Frame-Options.

Presseartikel