Änderungen von Dokument Allgemeine Sicherheitsempfehlungen

Von 20.10 nach 20.9 Von 21.1 nach 20.13

Von Version 20.13

bearbeitet von MKO
am 24.11.2021, 17:19

Änderungskommentar: (Autosaved)

Auf Version 20.10

bearbeitet von MKO
am 24.11.2021, 17:04

Änderungskommentar: (Autosaved)

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

@@ -93,25 +93,23 @@
  Um einen möglichst sicheren Login für Benutzer zu gewährleisten ist es empfohlen entweder bereits bestehende System-Umgebungen mit entsprechenden Richtlinien (z.B. LDAP) zu verwenden oder für den eigenen Anwendungsfall möglichst sichere Passwort-Richtlinien für Benutzer innerhalb von {{formcycle/}} festzulegen.
--Konfiguration der Passwortrichtlinien: [[hier>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HPasswort-Richtlinien" target="_blank"]]
++Weitere Details unter [[Allgemein>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HPasswort-Richtlinien" target="_blank"]]
  === HTTP Strict Transport Security (HSTS) ===
--Bei HSTS handelt es sich um einen HTTP-Header welcher gesetzt werden kann um die Möglichkeit eines Rückfall auf eine unsichere HTTP-Verbindung zu unterbinden. Hierbei wird an den Browser der entsprechende Header inkl. Gültigkeitsdauer und der Information ob dieser auch für Subdomains gilt übertragen. Der Browser wird nun bis zum Ablauf der Gültigkeit und ggf. für alle Sub-Domains keinerlei Anfragen über eine unverschlüsselte HTTP-Verbindung aufbauen bzw. gestatten. Sollten Sie {{formcycle/}} ausschließlich über HTTPS betreiben ist es empfohlen diese Option zu aktivieren und eine möglichst lange Gültigkeit zu wählen. Auch sollte die Option für das Einbeziehen von Subdomains benutzt werden. Zu beachten ist jedoch, dass ein gewollter Umstieg auf unverschlüsseltes HTTP auf Grund dieses Headers und dessen Gültigkeit bei Benutzern zu Problemen führen könnte.
++Bei HSTS handelt es sich um einen Netzwerk-Header welcher gesetzt werden kann um die Möglichkeit eines Downgrads auf HTTP zu verringern. Hierbei wird an den Browser der entsprechende Header inkl. Gültigkeitsdauer und der Information ob dieser auch für Subdomains gilt übertragen. Der Browser wird nun bis zum Ablauf der Gültigkeit und ggf. für alle Sub-Domains keinerlei Anfragen über eine unverschlüsselte HTTP-Verbindung aufbauen bzw. gestatten. Sollten Sie {{formcycle/}} ausschließlich über HTTPS betreiben ist es empfohlen diese Option zu aktivieren und eine möglichst lange Gültigkeit zu wählen. Auch sollte diese Option für Subdomains benutzt werden. Zu beachten ist jedoch, dass ein gewollter Umstieg auf unverschlüsseltes HTTP bei Benutzern auf Grund dieses Header und dessen Gültigkeit zu Problemen kommen kann.
--Konfiguration des HSTS-Headers: [[hier>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HHTTPStrictTransportSecurity28HSTS29" target="_blank"]]
++Weiter Details unter [[Allgemein>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HHTTPStrictTransportSecurity28HSTS29" target="_blank"]]
  === Referrer-Policy einschränken ===
--Die Referrer-Policy gibt an ob und wie die Information der ursprünglich aufgerufenen URL an Unterseiten oder Folgeseiten weitergegeben werden soll. Die bedeutet konkret, dass zum Beispiel die komplette ursprüngliche URL oder auch nur die Domäne (origin genannt) mitgeteilt werden kann. Da die URLs ggf. sicherheitsrelevante Informationen enthalten können, ist es empfohlen die Einstellung so restriktiv wie möglich zu wählen. Der Standardwert „strict-origin-when-cross-origin“ bietet meist ausreichenden Schutz ohne ggf. nötige Funktionalität zu beeinflussen. Er gibt an, dass alle Informationen innerhalb der selben Domäne komplett geteilt werden und Domän-übergreifend nur die Name der Domäne (der origin) übermittelt wird. Dies passiert wiederrum ausschließlich wenn sich das Sicherheits-Level der Übertragungen (HTTPS oder HTTP) nicht unterscheidet.
++Die Referrer-Policy gibt an ob und wie die Information der ursprünglich aufgerufenen URL an Unterseiten oder Folgeseiten weitergegeben werden soll. Die bedeutet konkret, dass zum Beispiel die komplette ursprüngliche URL oder auch nur die Domäne (origin genannt) mitgeteilt werden soll. Da die URLs ggf. sicherheitsrelevante Informationen enthalten können, ist es empfohlen die Einstellung so restriktiv wie möglich zu wählen. Der Standardwert „strict-origin-when-cross-origin“ bietet meist ausreichenden Schutz ohne ggf. nötige Funktionalität zu beeinflussen. Er gibt an, dass die alle Informationen innerhalb der selben Domäne komplett geteilt werden und Domän-übergreifend nur die Name der Domäne (der origin) übermittelt wird. Dies passiert wiederrum nur wenn sich das Sicherheits-Level der Übertragung (HTTPS oder HTTP) nicht unterscheidet.
--Konfiguration der Refferer-Policy: [[hier>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HReferrer-Policy" target="_blank"]]
++Weitere Details unter [[Allgemein>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HReferrer-Policy" target="_blank"]] und [[Mozilla>>url:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy||rel="noopener noreferrer" target="_blank"]]
--Weitere Informationen und mögliche Werte: [[Mozilla-Hilfe>>url:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy||rel="noopener noreferrer" target="_blank"]]
--
  === Systeminterne Beschränkungen ===
--Die systeminternen Beschränkungen dienen sowohl einer allgemeinen fachlichen, als auch daraus resultierenden technischen Limitierungen innerhalb verschiedener Teilbereiche. So kann hier global festgelegt werden wie groß Absendung eines Formulars (inkl. Uploads) insgesamt, als auch wie groß die einzelnen Dateien separat sein dürfen. Hier sollte der möglichst kleinste verwendbare Wert gewählt werden um das System vor übergroßen Dateien oder Anfragen zu schützen.
++Die systeminternen Beschränkungen dienen sowohl einer allgemeinen fachlichen aus auch daraus resultieren technischen Limitierung auf verschiedene Teilbereiche. So kann hier global festgelegt werden wie groß Absendung eines Formulars (mit Uploads) insgesamt, als auch wie groß die einzelnen Dateien separat sein dürfen. Hier sollte der möglichst kleinste verwendbare Wert gewählt werden um das System vor übergroßen Dateien oder Anfragen zu schützen.
  Ähnlich verhält es sich bei der Limitierung der maximalen Anzahl an Zeilen einer Datenbank-Abfrage sowie die Größenbeschränkung der einzelnen Datenbankzellen. Ein möglichst geringer Wert verhindert, dass z.B. bei Auswahl- oder AutoComplete-Felden zu viele Zeilen ausgeliefert werden und deswegen die Performance des Servers und des Clients (also des Formulars im Browser) leidet.