Verslag 6e bijeenkomst 2024 - http Security Headers

Lees het verslag van Leon Kolenburg van de 6e bijeenkomst van 17 juni 2024. Het thema van deze bijeenkomst was"Beveiliging deel 1 - HTTP Security Headers "

Tijdens deze hybride bijeenkomst waren er in totaal 13 deelnemers fysiek waarvan 3 deelnemer online aanwezig!

Joomla! nieuws

http- security headers door Peter Martin

Peter Martin hield een presentatie over de vele facetten van de Security Headers en demonstreerde dit in de 2e helft van de avond!HTTP Header.
Een HTTP header is een stukje communicatie tussen de de webserver en de client (jouw pc, tablet of telefoon)

  • HTTP Status - HTTP version, status code
  • General Headers - date, cache control
  • Request Headers - User-agent, cookie
  • ResponseHeaders - Server, Content-Type
  • Edentity Headers - Content-Encoding, content-language, Last modfied
  • Custom Headers - password: Open Sesame

Om je HTTP Headers te kijken volg de volgende stappen:

  • Start Google Chrome
  • Rechter muisknop: Inspect
  • Tablad: Network
  • Click in de adresbalk op je homepagina
  • Click daarna bovenaan op je hompagina is de lijst
  • Click daarna op: Headers
    Dan zie je alle info over de headers..

HTTP Security Headers

Waar worden de securityheaders geconfigureerd?:

  • Server Configuration
  • .htaccess, voed de volgende regel toe:  Header set X-Content-Security-Level "topsecret" 
  • php
  • HTML
  • Joomla Core Plugin:
    Ga naar:
    - System -> Plugins -> System - HTTPS Headers

De HTTP Securiy Headers

X-Frame Options: je moet verbieden dat jouw website geladen dan worden op een andere website met een iframe
Referrerr-Policy: Disable referrer (om de voorkomen dat je wordt geopend via een onbeveiligde HTTP verbinding 
Cross-Origin-Opener-Policy (COOP): het beperken van de browser om info te geven aan een link naar een externe website
X-Content-Type-Options:  nosniff (de browser gaat niet in de inhoud kijken maar alleen naar het plaatje
Permissions-Policy: het beperken van rechten van externe website die in een iframe worden opgeroepen.
Strict-Transport-Security: verplicht HTTPS communiceren, voorkom een Man in the Middle attack!
Content-Security-Policy:  daarbij vertrouw je alleen bijv. javaschipts, youtube filmpjes etc. die jij toelaat.
Nonce and Script Hashes. Switch de CSP wel even op "Report Only" Controleer of alle onderdelen van jouw website nog correct funtioneren!
Als je Nonse aanzet geeft hij een extra lange waarde mee bij alle java scripts die je aanroept op je website. Bij het opnieuw laden zijn die waardes allemaal hetzelfde.
Handige links
Cross-Origin Resourse Sharing: het verbieden vaninvullen van forms en cookies door kwaadwillende websites

Joomla Cope Plugin (HSH)

System > Plugins > System > HTTP Headers
Er staan ook de nieuwe headers die eraan zitten te komen! (Upcomming Headers)

Daarna volgde er een Demo om te laten zien hoe je je website beveiliging kon verbeteren en welk effect dat had op je label. Soms waren het simpele aanpassingen, maar een andere keer is het spelen met instellingen om ervoor te zorgen dat je een A+ kan krijgen. Het was een leuke en zeker leerzame avond waarbij je zelf nog eens goed moet gaan zitten om wat aanpassingen te doen om je beveliging te verbeteren.

Hieronder enkele handige links om je website te toetsen op beveiliging:

https://securityheaders.com/

Als je een 2, 3 of 4e keer wilt scannen doeg dan achter de domeinnaam iets zo zoals: /?123 dan scant hij weer opnieuw de website..

Presentaties

Presentatie JUG043 bijeenkomst    

Presentatie Peter Martin   

Foto's

Planning 2024

De nieuwe planning staat op de website voor 2024 zodat jij je weer kunt aanmelden. Hieronder de data en onderwerpen onder voorberhoud:

  • Maandag 23 september 2024 - Beveiliging deel 2 - Admin Tools.
  • Zaterdag 19 oktober 2024 - Pizza, JUG + Fun dag  -SEO Worskhop?
  • Maandag 21 oktober 2024 - Beveiliging deel 3 - Akeeba Admin Tools Workshop?
  • Maandag 18 november 2024 - Inrichting en beveiliging webhosting?

De volgende bijeenkomst

De volgende bijeenkomst die door JUG043 wordt georganiseerd is op:

Datum en tijd: maandag 23 september 2024 van 19:00 t/m +/-21:30 uur
Locatie: Beek
Soort bijeenkomst: Hybbride
ThemaBeveiliging deel 3 - Akeeba Admin tools
Naam (gast)sprekerJohan van der Velde

Aanmelden bijeenkomst