Web-Sicherheit
Sicherheitsaspekte spielen auch für die Webserver der TU Chemnitz eine immer größere Rolle, weil unsere Server
- von einer großen Zahl von Webautoren benutzt werden,
- Programmierlücken erschreckend schnell ausgenutzt und missbraucht werden,
- schützenswerte Daten enthalten, die nur Berechtigten zugänglich gemacht werden sollen.
Ein Hinweis voran: Eine absolute Sicherheit werden wir auf den allgemeinen Webservern nicht erreichen können. Sensible Daten dürfen deshalb nur über geeignete dedizierte Server (z.B. über eigene virtuelle Server) und geeignete Verschlüsselungsverfahren zugänglich gemacht werden. Aber auch dann ist sorgfältige Programmierung nötig!
- Sichere Geheimnisse für Webanwendungen
- Absicherung von Webformularen
- Schreiben im Webspace: Risiken und Schutz
- Sicheres Programmieren mit PHP
Sicherheitseinstellungen der zentralen Webserver
Seitenabrufe für die zentralen Webserver sind nur noch über https verschlüsselt möglich (HTTP Strict Transport Security).
Das Darstellen der Webseiten der TU Chemnitz in Frames ist aus Sicherheitsgründen nur auf unseren eigenen Webseiten gestattet. Dafür werden folgende HTTP-Header gesetzt:
Content-Security-Policy: frame-ancestors 'self'X-Frame-Options: SAMEORIGIN
Wenn Sie für Ihre Seiten die Anzeige in Frames anderer Webserver erlauben wollen,
müssen Sie in die .htaccess bspw. schreiben:
Header set Content-Security-Policy "frame-ancestors https://www.example.com" Header set X-Frame-Options "ALLOW-FROM https://www.example.com"
Der Header Content-Security-Policy ist wesentlich flexibler als
X-Frame-Options und wird inzwischen von modernen Webbrowsern beachtet.
Wenn man möchte, dass seine Webseiten von allen Servern einer Domain als Frame verwendet werden
können, schreiben Sie ins .htaccess:
# Alle Seiten auf tu-chemnitz.de erlauben: Header set Content-Security-Policy "frame-ancestors *.tu-chemnitz.de" # Das geht mit X-Frame-Options nicht, daher schalten wir den ab: Header unset X-Frame-Options
Mit Content-Security-Policy können weitere Sicherheitseinstellungen vorgenommen
werden. Sie können festlegen, woher externe Inhalte, wie z. B. JavaScript, CSS, Bilder oder Fonts,
geladen werden dürfen. Damit können Sie Ihre Webseiten sicherer machen.
# Javascript, CSS etc. nur vom eigenen Server und www.tu-chemnitz.de, kein inline-Javascript Header set Content-Security-Policy "default-src 'self' https://www.tu-chemnitz.de"
Weitere Informationen:
