Homepage - Feature Vorstellung des Tages - Sicherheitskonzept

Hey,

heute starte ich mal etwas anders. Nämlich mit:

Ich hasse Blackhat-Hacker.

Diese Leute ergötzen sich daran die Arbeit und die Systeme anderer zu zerstören. Daher sind mir diese "Blackhat-Hacker" ein Dorn im Auge. Aus diesem Grund habe ich die letzten Tage damit verbracht, die Sicherheitsvorkehrungen der Webseite massiv zu verstärken.

Dabei habe ich mich nicht nur auf den Adminbereich, sondern auf die Sicherheit der gesamten Webseite konzentriert.

Schon immer war mir deine Sicherheit als Webseitenbesucher und die der Homepage extrem wichtig. Dennoch ist das ein ständiger Kampf. Daher habe ich mich entschlossen, die Seite auf die mir bekannte finale Härtungsstufe zu bringen. Ich möchte dir einen kleinen Einblick geben, was das bedeutet. Es geht dabei weniger um neue Features, sondern um den Schutz dessen, was wir haben.

Was wurde gemacht?

Security Header

Die .htaccess-Datei ist die erste Verteidigungslinie von vielen. Hier schicke ich eine ganze Reihe von Anweisungen an deinen Browser, die verhindern, dass die Seite manipuliert oder die Verbindung missbraucht werden kann. Dazu gehören Anweisungen wie:

• X-Frame-Options: SAMEORIGIN: Dies ist ein Schutz gegen Clickjacking. Es verhindert, dass die Seite in einem bösartigen iFrame auf einer anderen Website eingebettet wird.

• X-Content-Type-Options: nosniff: Dieser Header weist den Browser an, nicht zu versuchen, den MIME-Typ einer Datei zu erraten, was eine Sicherheitslücke sein kann.

• Wenn ich hier alles aufzählen würde, würde der Post irgendwann langweilig werden, daher belassen wir es an der Stelle mit den konkreten Beispielen. 😁
  Wenn du es aber trotzdem genauer wissen willst, schau dir z.B. die .htacces auf GitHub an.

Content Security Policy (CSP)

Die Content Security Policy ist eine der mächtigsten Verteidigungsmaßnahmen gegen Cross-Site-Scripting (XSS). Sie ist eine Whitelist, die deinem Browser genau vorschreibt, von welchen Orten (Domains) Skripte, Stylesheets und Bilder geladen werden dürfen.

Bisher war die CSP eher defensiv, aber ich bin gerade dabei, sie noch weiter zu härten, indem ich Noncen (nonce-value) einbinde. Das bedeutet, dass jedes Inline-Skript auf der Seite einen einzigartigen, einmaligen Token benötigt, um ausgeführt zu werden. Selbst wenn ein Hacker Code auf der Seite platziert, kann der Browser ihn nicht ausführen, weil er den fehlenden Nonce-Wert erkennt.

CSRF-Schutz

CSRF (Cross-Site Request Forgery) ist ein Angriff, bei dem ein Hacker dich dazu bringt, eine ungewollte Aktion auf der Webseite auszuführen (z.B. ein Passwort zu ändern), ohne dass du es merkst. Oder in deinem Fall deine Lesezeichen neu zu setzen und diese mit Schadcode zu versehen.

Ich arbeite an einem umfassenden CSRF-Schutz, der auf einzigartigen, zufälligen Token basiert. Jede sensible Aktion, wie zum Beispiel die Login und Logout-Funktion im Adminbereich oder auch wieder die Lesezeichen, erfordert, dass ein solcher Token mitgeschickt wird. Der Server prüft dann, ob dieser Token gültig ist, bevor die Aktion ausgeführt wird. Dies stellt sicher, dass nur Anfragen, die wirklich von deiner Sitzung stammen, akzeptiert werden.

Dieses fortlaufende Update ist ein Prozess, aber es ist die Mühe wert. Deine Sicherheit und die der Seite hat für mich oberste Priorität.

Hier findest du weitere Informationen zu den Änderungen in Bezug auf Sicherheit und Geschwindigkeit:

Release: 1.8.5.1 https://github.com/RaptorXilef/twokinds.4lima.de/releases/tag/1.8.5.1

Release: 2.0.0.0 https://github.com/RaptorXilef/twokinds.4lima.de/releases/tag/2.0.0.0

PS: Update 2.0.0.0 ist grade noch mitten im Gange. Sollte aber in den nächsten Stunden auf GitHub sichtbar werden und auch auf der Webseite Einzug halten. 😊


Dein Felix 😁