Waarschuwing
Kan map niet verwijderen. Pad: /data/sites/web/joomlacommunitynl/data/test.joomlacommunity.nl/public_html/cache/com_content
Bericht sluiten

| Door: Hans van der Meer. | Categorie: Arnhem / Nijmegen.

Verslag Security Headers - Gebruikersgroep Arnhem Nijmegen november 2018

Op 14 november kwam gebruikersgroep arnhem - Nijmegen weer bijeen met als onderwerp Security Headers. Er was vooraf wat onduidelijkheid over waar aan te melden voor de bijeenkomst. Hans had voor Facebook gekozen omdat op Meetup anders vermeld staat dat het in Nijmegen is. Maar in de toekomst zal het standaard op Meetup zijn, met duidelijke vermelding als we in Randwijk zitten.

Joomla

Joomla 3.9 is op 30 oktober uitgekomen waarbij de Privacy Tool Suite centraal staat. Deze suite helpt met het voldoen aan de AVG regelgeving. Op de Joomla 3 landingspagina staat een (Nederlandstalig) overzicht van de nieuwe mogelijkheden. Een update is inmiddels gepland en zal binnen enkele weken uitkomen.

Van Joomla 4 is een vijfde alpha uitgekomen, testers zijn welkom. Het testen kan ook makkelijk op Joomla Launch. Een gratis subdomein bij Joomla waarbij je ook Joomla4 kan laten installeren.

Evenementen

Joostock

Het team organiseert op 24 november weer de enige Joomla unconference van Nederland en er zijn nog kaarten beschikbaar (€ 95 incl. deelname, lunch, diner, hapjes, thee, koffie en netwerkborrel). Een programma staat inmiddels op de website.

JoomlaCamp Duitsland

Er is altijd een groep Nederlanders die ook de Duitse Unconference JoomlaCamp bezoekt. De volgende editie daarvan is op 9 februari 2019.

Presentatie Security Headers

Wilco laat aan de hand van de website Security Headers van Scott Helme zien welke Security Headers er op dit moment bestaan, wat ze ongeveer doen en welke instellingen ze hebben. Het makkelijkst is om de website waarbij je deze headers wil gaan gebruiken laat testen en ze één voor één doorneemt.

Kleine kanttekening, vanaf Joomla 4 is er een core-plugin hiervoor beschikbaar die veel werk hiervoor je uit handen neemt.

De volgende Security Headers zijn vanavond langs gekomen

  • X-Frame-Options
    Kan het gebruik van jouw website in een iframe inladen uitschakelen
  • X-Xss-Protections
    Het mogelijk uitschakelen van het injecteren van scripts (van externe bronnen)
  • X-Content-Type-Options
    Het mogelijk uitschakelen van het bestuderen van een bestand door de browser om zo het type bestand te kunnen achterhalen.
  • Referrer-Policy
    Het instellen welke gegevens meegestuurd worden met externe links
  • ContentSecurityPolicy
    Het per item (!) toestaan van een bron. Dit kan bijvoorbeeld een Google Font zijn, een javascript-bestand etc etc. Het kan heel veel tijd kosten om te achterhalen welke bronnen allemaal op een website geraadpleegd worden. Met Joomla 4 word je hierbij geholpen om deze makkelijk te traceren door middel van het activeren van een logfunctie.
  • Vanaf de Developer website van Joomla is voor (op dit moment) Joomla 4 alpha 6 het update-pakket en het volledige installatiepakket beschikbaar. Klik op die pagina op Joomla 4 en de links worden getoond.

Vraag

Maakt het uit of op nginx je de plugin uitschakelt en de webconfig gebruikt?

Goede vraag, dit is onbekend bij de aanwezigen van vanavond. Dit gaat ook bij gebruik van de regels in eigen htaccess en in de plugin. Het zal duidelijk moeten worden als je dit test.

Tips

  • Zet jouw website op HTTPS
    Ook al gaat het om een statische website, het is aan te bevelen om alle websites op HTTPS te hebben. Dit om de bezoekers van jouw website ook te beveiligen. Een certificaat kan je vanaf gratis verzorgen bij b.v. LetsEncrypt.
  • Filmpje van Security Expert Brenno de Winter die een voorbeeld geeft wat iemand met een website kan doen als er geen XSS-beveiliging is
  • Wil je Youtube makkelijk in je website zetten? Dit kan ook via een Custom Field plugin van Jeroen Molenschot. 
  • Goede extensie voor cookie-melding, Kick GDPR
  • Can I use, website die aangeeft welke technieken in welke browsers en versies ondersteund worden.
  • Blog van Hans van der Meer over welke Security Headers heeft gebruikt voor zijn website met korte uitleg. Makkelijke copy/paste voor eigen gebruik.
  • Website van Scott Helme met uitleg over onder andere Security Headers. Hiernaar wordt vanuit securityheaders.com doorgelinkt voor uitleg over de specifieke onderdelen.
  • Wil je controleren welk type certificaat je website (of een andere) gebruikt dan kan je dat via SSL Labs achterhalen.

 

In december is de bijeenkomst weer in Nijmegen, het onderwerp is dan Joomla 3.9 en de Privacy Tool Suite. Peter Martin zal daar inhoudelijk op in gaan.

Vragen

Too many redirects foutmelding

Taal plugin uitschakelen is een eerste stap. Redirect in htaccess met domeinnaam kan ook fouten geven. Je kan dan onderstaande code gebruiken voor de goede redirect HTTP->HTTPS

##### Redirect www to non-www -- BEGIN 
RewriteCond %{HTTP_HOST} ^www\.(.+)$ [NC] 
RewriteRule ^(.*)$ https://%1/$1 [R,L] 
##### Redirect www to non-www -- END

Alle mogelijke opties in htaccess

Een lijst met alle mogelijke instellingen is op Github te vinden:

  • Apache: https://github.com/h5bp/server-configs-apache/blob/master/dist/.htaccess
  • Nginx: https://github.com/h5bp/server-configs-nginx/blob/master/nginx.conf

Onderwerpen?

Voor dit jaar is het natuurlijk mogelijk om onderwerpen aan te geven. Dus als je nieuwsgierig bent naar een specifiek onderwerp en wilt er meer over weten. Of zou je graag een bepaalde Joomler op bezoek willen hebben omdat die zulke goede presentaties geeft? Geef het even door! Dit kan op [email protected] of in onze Facebook- groep of Meetup-groep.

Gravatar
Hans van der Meer
Hoi Frans, bedankt voor het doorgeven. De link is aangepast en werkt nu wel! cool
Gravatar
Frans de Wit
Laatst gewijzigd op 15.11.2018 14:57 door Hans van der Meer
Hans dit verschijnt na aanklikken link naar Security Headers..

Citaat :
404: Pagina niet gevonden
Helaas kunnen we deze pagina niet voor je vinden...

Mogelijk komt dit wegens:
een verouderde bladwijzer/favoriet
een zoekmachine heeft een verouderde lijst van deze website
een fout getypt adres
u heeft geen toegang tot deze pagina
De gegeven bron is niet gevonden.
Er is een fout opgetreden tijdens het verwerken van uw verzoek.
We hebben tevens net de website volledig vernieuwd, dus wellicht heeft het hiermee te maken. We doen ons best om eventuele problemen zo spoedig mogelijk op te lossen!

1000 Resterende tekens


Deze site wordt beschermd door reCAPTCHA en Google Privacybeleid en Servicevoorwaarden zijn van toepassing.