Verslag Security Headers - Gebruikersgroep Arnhem Nijmegen november 2018
Op 14 november kwam gebruikersgroep arnhem - Nijmegen weer bijeen met als onderwerp Security Headers. Er was vooraf wat onduidelijkheid over waar aan te melden voor de bijeenkomst. Hans had voor Facebook gekozen omdat op Meetup anders vermeld staat dat het in Nijmegen is. Maar in de toekomst zal het standaard op Meetup zijn, met duidelijke vermelding als we in Randwijk zitten.
Joomla
Joomla 3.9 is op 30 oktober uitgekomen waarbij de Privacy Tool Suite centraal staat. Deze suite helpt met het voldoen aan de AVG regelgeving. Op de Joomla 3 landingspagina staat een (Nederlandstalig) overzicht van de nieuwe mogelijkheden. Een update is inmiddels gepland en zal binnen enkele weken uitkomen.
Van Joomla 4 is een vijfde alpha uitgekomen, testers zijn welkom. Het testen kan ook makkelijk op Joomla Launch. Een gratis subdomein bij Joomla waarbij je ook Joomla4 kan laten installeren.
Evenementen
Joostock
Het team organiseert op 24 november weer de enige Joomla unconference van Nederland en er zijn nog kaarten beschikbaar (€ 95 incl. deelname, lunch, diner, hapjes, thee, koffie en netwerkborrel). Een programma staat inmiddels op de website.
JoomlaCamp Duitsland
Er is altijd een groep Nederlanders die ook de Duitse Unconference JoomlaCamp bezoekt. De volgende editie daarvan is op 9 februari 2019.
Presentatie Security Headers
Wilco laat aan de hand van de website Security Headers van Scott Helme zien welke Security Headers er op dit moment bestaan, wat ze ongeveer doen en welke instellingen ze hebben. Het makkelijkst is om de website waarbij je deze headers wil gaan gebruiken laat testen en ze één voor één doorneemt.
Kleine kanttekening, vanaf Joomla 4 is er een core-plugin hiervoor beschikbaar die veel werk hiervoor je uit handen neemt.
De volgende Security Headers zijn vanavond langs gekomen
- X-Frame-Options
Kan het gebruik van jouw website in een iframe inladen uitschakelen - X-Xss-Protections
Het mogelijk uitschakelen van het injecteren van scripts (van externe bronnen) - X-Content-Type-Options
Het mogelijk uitschakelen van het bestuderen van een bestand door de browser om zo het type bestand te kunnen achterhalen. - Referrer-Policy
Het instellen welke gegevens meegestuurd worden met externe links - ContentSecurityPolicy
Het per item (!) toestaan van een bron. Dit kan bijvoorbeeld een Google Font zijn, een javascript-bestand etc etc. Het kan heel veel tijd kosten om te achterhalen welke bronnen allemaal op een website geraadpleegd worden. Met Joomla 4 word je hierbij geholpen om deze makkelijk te traceren door middel van het activeren van een logfunctie. - Vanaf de Developer website van Joomla is voor (op dit moment) Joomla 4 alpha 6 het update-pakket en het volledige installatiepakket beschikbaar. Klik op die pagina op Joomla 4 en de links worden getoond.
Vraag
Maakt het uit of op nginx je de plugin uitschakelt en de webconfig gebruikt?
Goede vraag, dit is onbekend bij de aanwezigen van vanavond. Dit gaat ook bij gebruik van de regels in eigen htaccess en in de plugin. Het zal duidelijk moeten worden als je dit test.
Tips
- Zet jouw website op HTTPS
Ook al gaat het om een statische website, het is aan te bevelen om alle websites op HTTPS te hebben. Dit om de bezoekers van jouw website ook te beveiligen. Een certificaat kan je vanaf gratis verzorgen bij b.v. LetsEncrypt. - Filmpje van Security Expert Brenno de Winter die een voorbeeld geeft wat iemand met een website kan doen als er geen XSS-beveiliging is
- Wil je Youtube makkelijk in je website zetten? Dit kan ook via een Custom Field plugin van Jeroen Molenschot.
- Goede extensie voor cookie-melding, Kick GDPR
- Can I use, website die aangeeft welke technieken in welke browsers en versies ondersteund worden.
- Blog van Hans van der Meer over welke Security Headers heeft gebruikt voor zijn website met korte uitleg. Makkelijke copy/paste voor eigen gebruik.
- Website van Scott Helme met uitleg over onder andere Security Headers. Hiernaar wordt vanuit securityheaders.com doorgelinkt voor uitleg over de specifieke onderdelen.
- Wil je controleren welk type certificaat je website (of een andere) gebruikt dan kan je dat via SSL Labs achterhalen.
In december is de bijeenkomst weer in Nijmegen, het onderwerp is dan Joomla 3.9 en de Privacy Tool Suite. Peter Martin zal daar inhoudelijk op in gaan.
Vragen
Too many redirects foutmelding
Taal plugin uitschakelen is een eerste stap. Redirect in htaccess met domeinnaam kan ook fouten geven. Je kan dan onderstaande code gebruiken voor de goede redirect HTTP->HTTPS
##### Redirect www to non-www -- BEGIN
RewriteCond %{HTTP_HOST} ^www\.(.+)$ [NC]
RewriteRule ^(.*)$ https://%1/$1 [R,L]
##### Redirect www to non-www -- END
Alle mogelijke opties in htaccess
Een lijst met alle mogelijke instellingen is op Github te vinden:
- Apache: https://github.com/h5bp/server-configs-apache/blob/master/dist/.htaccess
- Nginx: https://github.com/h5bp/server-configs-nginx/blob/master/nginx.conf
Onderwerpen?
Voor dit jaar is het natuurlijk mogelijk om onderwerpen aan te geven. Dus als je nieuwsgierig bent naar een specifiek onderwerp en wilt er meer over weten. Of zou je graag een bepaalde Joomler op bezoek willen hebben omdat die zulke goede presentaties geeft? Geef het even door! Dit kan op [email protected] of in onze Facebook- groep of Meetup-groep.
Citaat :