Web-Sicherheit

Sicherheitsaspekte spielen auch für die Webserver der TU Chemnitz eine immer größere Rolle, weil unsere Server

• von einer großen Zahl von Webautoren benutzt werden,
• Programmierlücken erschreckend schnell ausgenutzt und missbraucht werden,
• schützenswerte Daten enthalten, die nur Berechtigten zugänglich gemacht werden sollen.

Ein Hinweis voran: Eine absolute Sicherheit werden wir auf den allgemeinen Webservern nicht erreichen können. Sensible Daten dürfen deshalb nur über geeignete dedizierte Server (z. B. über eigene virtuelle Server) und geeignete Verschlüsselungsverfahren zugänglich gemacht werden. Aber auch dann ist sorgfältige Programmierung nötig!

• Sichere Geheimnisse für Webanwendungen
• Absicherung von Webformularen
• Schreiben im Webspace: Risiken und Schutz
• Sicheres Programmieren mit PHP

Sicherheitseinstellungen der zentralen Webserver

Seitenabrufe für die zentralen Webserver sind nur noch über https verschlüsselt möglich (HTTP Strict Transport Security).

Das Darstellen der Webseiten der TU Chemnitz in Frames ist aus Sicherheitsgründen nur auf unseren eigenen Webseiten gestattet, Fonts sind nur von Server der TUC zu laden, Verbindungen dürfen nur zu Servern der TUC aufgebaut werden. Dafür werden folgende HTTP-Header gesetzt:

• Content-Security-Policy: connect-src 'self' https://*.tu-chemnitz.de/; font-src 'self' https://*.tu-chemnitz.de/; frame-ancestors 'self' https://*.tu-chemnitz.de/; worker-src 'self'
• X-Frame-Options: SAMEORIGIN

Wenn Sie für Ihre Seiten die Anzeige in Frames anderer Webserver erlauben wollen, müssen Sie in die .htaccess bspw. schreiben (hier für OPAL = bildungsportal.sachsen.de freigeben):

Header set Content-Security-Policy "connect-src 'self' https://*.tu-chemnitz.de/; font-src 'self' https://*.tu-chemnitz.de/; frame-ancestors 'self' https://*.tu-chemnitz.de/ https://bildungsportal.sachsen.de/; worker-src 'self'"
Header set X-Frame-Options "ALLOW-FROM https://bildungsportal.sachsen.de"

Der Header Content-Security-Policy ist wesentlich flexibler als X-Frame-Options und wird inzwischen von modernen Webbrowsern beachtet. Wenn man möchte, dass seine Webseiten von allen Servern einer Domain als Frame verwendet werden können, schreiben Sie ins .htaccess:

# Alle Seiten auf tu-chemnitz.de erlauben:
Header set Content-Security-Policy "frame-ancestors *.tu-chemnitz.de"
# Das geht mit X-Frame-Options nicht, daher schalten wir den ab:
Header unset X-Frame-Options

Mit Content-Security-Policy können weitere Sicherheitseinstellungen vorgenommen werden. Sie können festlegen, woher externe Inhalte, wie z. B. JavaScript, CSS, Bilder oder Fonts, geladen werden dürfen. Damit können Sie Ihre Webseiten sicherer machen.

# Javascript, CSS etc. nur vom eigenen Server und www.tu-chemnitz.de, kein inline-Javascript
Header set Content-Security-Policy "default-src 'self' https://www.tu-chemnitz.de"

Weitere Informationen:

• Content-Security-Policy
• X-Frame-Options