Content Security Policy

Publiziert: 05 August 2014 - Kategorie: info

Aufgrund der Geschichte mit den externen Schriftarten haben wir ein altes Projekt von uns endlich umgesetzt: Wir liefern nun Content Security Policy Headers für das Webmail und einige andere Seiten aus.

Dabei handelt es sich um Regeln, die der Webserver mitliefern kann, welche dem Webbrowser sagen, von welchen Orten Daten geladen werden dürfen. Zum Beispiel besagt der von uns gesetzte Header nun, dass Schriftarten nur von https://www.immerda.ch geladen werden dürfen. Sollten aus Versehen, oder durch eine Sicherheitslücke, Adressen von externen Seiten vorhanden sein, werden diese ignoriert.

Wir erlauben im Webmail nun grundsätzlich keine externen Quellen mehr. Eine Ausnahme besteht wenn explizit auf “HTML-Daten in einem neuem Fenster anzeigen” geklickt wird, dann dürfen externe Bilder nachgeladen werden. Um das zu verhindern kann das Mail auch via “HTML-Daten in einfachen Text umwandeln und in neuem Fenster anzeigen” gelesen werden.

Wenn du selber eine Website mit dynamischen Inhalten betreibst empfehlen wir dir ebenfalls solche Header zu setzen. Die Regeln können ganz einfach generiert werden und es gibt gute Anleitungen dazu. Ein sehr praktisches Feature ist ausserdem die Möglichkeit den Browser anzuweisen Verstösse gegen die Regeln zurückzumelden, so dass allfällige Probleme schnell entdeckt werden können. Zu diesem Zweck muss eine report-uri angegeben werden. Wir haben ein kleines Skript geschrieben, welches solche Reports empfängt und in eine Datenbank abspeichert. Falls du dies auf deinem immerda Hosting machen möchtest nimm mit uns Kontakt auf.