Waarschuwing
Kan map niet verwijderen. Pad: [ROOT]/cache/com_content
Bericht sluiten

Door: Leon Kolenburg.Categorie: Maastricht.

Verslag 6e bijeenkomst 2024 - http Security Headers

Lees het verslag van Leon Kolenburg van de 6e bijeenkomst van 17 juni 2024. Het thema van deze bijeenkomst was "http Security Headers"

Tijdens deze fysieke bijeenkomst waren er in totaal 13 deelnemers fysiek en 3 deelnemer online aanwezig.

Joomla! nieuws

  • Joomla 5.1.1 en 4.4.5 zijn uitgebracht.
  • Joomla 5.2 Alpha 1 is uitgebracht
  • Korte terugblik Joomladagen in Tilburg vrijdag 31 mei en zaterdag 1 juni https://www.joomladagen.nl

 

http- security headers door Peter Martin

Peter Martin hield een presentatie over de vele facetten van de Security Headers en demonstreerde dit in de 2e helft van de avond!HTTP Header.
Een HTTP header is een stukje communicatie tussen de de webserver en de client (jouw pc, tablet of telefoon)

  • HTTP Status - HTTP version, status code
  • General Headers - date, cache control
  • Request Headers - User-agent, cookie
  • ResponseHeaders - Server, Content-Type
  • Edentity Headers - Content-Encoding, content-language, Last modfied
  • Custom Headers - password: Open Sesame

 

Om je HTTP Headers te kijken volg de volgende stappen:

  • Start Google Chrome
  • Rechter muisknop: Inspect
  • Tablad: Network
  • Click in de adresbalk op je homepagina
  • Click daarna bovenaan op je hompagina is de lijst
  • Click daarna op: Headers
    Dan zie je alle info over de headers..

HTTP Security Headers

Waar worden de securityheaders geconfigureerd?:

  • Server Configuration
  • .htaccess, voed de volgende regel toe:  Header set X-Content-Security-Level "topsecret" 
  • php
  • HTML
  • Joomla Core Plugin:
    Ga naar:
    System -> Plugins -> System HTTPS Headers


De HTTP Securiy Headers

X-Frame Options: je moet verbieden dat jouw website geladen dan worden op een andere website met een iframe
Referrerr-Policy: Disable referrer (om de voorkomen dat je wordt geopend via een onbeveiligde HTTP verbinding 
Cross-Origin-Opener-Policy (COOP): het beperken van de browser om info te geven aan een link naar een externe website
X-Content-Type-Options:  nosniff (de browser gaat niet in de inhoud kijken maar alleen naar het plaatje
Permissions-Policy: het beperken van rechten van externe website die in een iframe worden opgeroepen.
Strict-Transport-Security: verplicht HTTPS communiceren, voorkom een Man in the Middle attack!
Content-Security-Policy:  daarbij vertrouw je alleen bijv. javaschipts, youtube filmpjes etc. die jij toelaat.
Nonce and Script Hashes. Switch de CSP wel even op "Report Only" Controleer of alle onderdelen van jouw website nog correct funtioneren!
Als je Nonse aanzet geeft hij een extra lange waarde mee bij alle java scripts die je aanroept op je website. Bij het opnieuw laden zijn die waardes allemaal hetzelfde.
Handige links
Cross-Origin Resourse Sharing: het verbieden vaninvullen van forms en cookies door kwaadwillende websites

Joomla Cope Plugin (HSH)

System > Plugins > System > HTTP Headers
Er staan ook de nieuwe headers die eraan zitten te komen! (Upcomming Headers)

Daarna volgde er een Demo om te laten zien hoe je je website beveiliging kon verbeteren en welk effect dat had op je label. Soms waren het simpele aanpassingen, maar een andere keer is het spelen met instellingen om ervoor te zorgen dat je een A+ kan krijgen. Het was een leuke en zeker leerzame avond waarbij je zelf nog eens goed moet gaan zitten om wat aanpassingen te doen om je beveliging te verbeteren.

Hieronder enkele handige links om je website te toetsen op beveiliging:

https://securityheaders.com/

Als je een 2, 3 of 4e keer wilt scannen doeg dan achter de domeinnaam iets zo zoals: /?123 dan scant hij weer opnieuw de website..

 

Planning 2024 

De nieuwe planning komt binnenkort op de website voor 2024 te staan zodat jij je weer kunt aanmelden. Hieronder alvast de data onder voorberhoud:

  • Maandag 23 september 2024 - thema Je website beveilingen deel 2.
  • Maandag 21 oktober 2024 - thema n.n.b.? of:
  • Zaterdag 19 oktober 2024 - Pizza, JUG + Fun dag?
  • Maandag 18 november 2024 - thema n.n.b.

De volgende bijeenkomst

De volgende bijeenkomst die door JUG043 wordt georganiseerd is op:

Datum en tijd: maandag 23 september 2024 van 19:00 t/m 21:30 uur
Locatie: Beek
Thema: Beveiliging deel 3 - Akeeba Admin tools
Naam (gast)spreker: Johan van der Velde

Aanmelden bijeenkomst

 

1000 Resterende tekens


Deze site wordt beschermd door reCAPTCHA en Google Privacybeleid en Servicevoorwaarden zijn van toepassing.