6G Firewall

1 Thiago

Hallo Leute,
ist die https://perishablepress.com/6g/ Nur für dynamische Webseiten, beispielsweise die verschiedenen CMS, sinnvoll oder auch für statische Webseiten, also HTML-Webseiten?

Für rein statische HTML-Seiten wohl kaum, wenn man vom Blocken der "Bad Bots" absieht, wobei man aber auch geteilter Meinung sein kann, inwieweit die Blacklist sinnvoll ist (nicht jeder will z.B. archive.org aussperren). Ansonsten werden im großen und ganzen Requests geblockt, die auf Sicherheitslücken in dynamischen Seiten abzielen. Diese Htaccess-Firewall ersetzt aber keine notwendigen Sicherheitsmaßnahmen wie das Einspielen von Updates, sie blockt allenfalls den ein oder anderen Bot, der auf Suche nach Sicherheitslücken ist. Einen allumfassenden Schutz bietet diese Firewall nicht.

3 Thiago

Hallo Jörg,
danke für deine ausführliche Erläuterung!

4 Thiago

Hallo Jörg,

Mich würde deine Einschätzung Zum achten Punkt auf https://andreashecht-blog.de/4183/ interessieren.

5 Jörg Kruse

Solche Anfragen sind mir noch nicht untergekommen. Hier schreibt jemand was dazu:

https://techglimpse.com/yes-this-is-a-really-long-request-url-apache-log/

Demnach steckt die RWTH Aachen mit einem Forschungsprojekt dahinter:

http://researchscan.comsys.rwth-aachen.de/

Unter "Can I request that my server be excluded?" hätte ich jetzt die Aussage erwartet, dass man die Zugriffe in der robots.txt verbieten kann, stattdessen soll man die Uni kontaktieren oder das angegebene Subnet in der Firewall blocken.

Ob der htaccess Abschnitt von Andreas Hecht sinnvoll ist, halte ich eher für fraglich. Erstens kann sich der lange String jederzeit ändern und dann greift die Regel nicht mehr; zweitens belastet man den Webserver zusätzlich, wenn auch noch mod_rewrite den langen String parsen muss. Besser wäre es da wohl, das angegebene Subnet zu blocken.

6 Thiago

Vielen Dank für deine Antwort!

7 Thiago

Hallo Jörg,

Habe noch eine Frage zum Punkt 2 der perfekten htaccess von Andreas Hecht.

2 – CORS aktivieren für bestimmte Dateitypen

Was genau ist CORS?
Cross-Origin Resource Sharing (CORS) ist ein Mechanismus, der Webbrowsern oder auch anderen Webclients Cross-Origin-Requests ermöglicht. … CORS ist ein Kompromiss zugunsten größerer Flexibilität im Internet unter Berücksichtigung möglichst hoher Sicherheitsmaßnahmen.
CORS ist ein wichtiger Beitrag zu einer Sicherheitsstrategie in Verbindung mit einer Content Security Policy. Solltest Du diese Strategie einsetzen, dann ist dieser Teil bereits in meiner Datei enthalten.

<IfModule mod_headers.c>
    <FilesMatch "\.(ttf|ttc|otf|eot|woff|woff2|font.css|css|js|gif|png|jpe?g|svg|svgz|ico|webp)$">
        Header set Access-Control-Allow-Origin "*"
    </FilesMatch>
</IfModule>

Leider fehlt mir das Fachwissen, um auch trotz der Erklärung zu verstehen, was CORS ist.
Ich weiß zwar, was eine Content Security Policy ist und auch wie man diese erstellt und wie das Ganze funktioniert, aber wieso erhöht der Einsatz von CORS die Sicherheit, wenn man für die aufgeführten Dateitypen alles erlaubt???

8 Jörg Kruse

Sinn macht dieser Htaccess-Abschnitt wohl nur, wenn man (per Script) auf Dateien mit diesen Endungen zugreifen möchte.

aber wieso erhöht der Einsatz von CORS die Sicherheit, wenn man für die aufgeführten Dateitypen alles erlaubt???

Naja, vielleicht bezieht sich das Mehr an Sicherheit auf die FilesMatch-Angabe, dass man, wenn man den CORS-Header setzen muss, diesen nicht global setzt, sondern nur für eine Whitelist von Dateitypen. Ich würde das dann aber auch nur bei Bedarf machen.

9 Thiago

Danke für deine Antwort!