Fakultät Informatik Wiki - it_best_practise:apache http://wiki.informatik.rwth-aachen.de/ 2026-05-08T04:42:18+00:00 Fakultät Informatik Wiki http://wiki.informatik.rwth-aachen.de/ http://wiki.informatik.rwth-aachen.de/lib/exe/fetch.php?media=wiki:logo.png text/html 2024-02-27T11:41:18+00:00 Anonymous (anonymous@undisclosed.example.com) http_security_headers http://wiki.informatik.rwth-aachen.de/doku.php?id=it_best_practise:apache:http_security_headers&rev=1709034078&do=diff Versionsinformation Die Konfigurationseinstellungen gelten füf den Apache 2.2.x und Apache 2.4.x Webserver HTTPS Header Settings Laut der Webseite <https://blog.appcanary.com/2017/http-security-headers.html> sind noch folgende Headereinstellungen sinnvoll: Header always append X-Frame-Options SAMEORIGIN Header always set X-Xss-Protection "1; mode=block" Header always set Public-Key-Pins "pin-sha256='<primary>';\ pin-sha256='<backup>';\ includeSubdomains; max-age=5184000" Header always… text/html 2024-02-27T11:41:18+00:00 Anonymous (anonymous@undisclosed.example.com) mod_security http://wiki.informatik.rwth-aachen.de/doku.php?id=it_best_practise:apache:mod_security&rev=1709034078&do=diff mod_security Modul Versionsinformation * Webserver: Apache 2.4.x / Apache 2.2.x * mod_security Versionsnummer 2.9.1 * mod_security Regeln: OWASP CRS 3.0(gold) Modulfunktion Laut Webseite <https://modsecurity.org/> ermöglicht das Modul die den Betrieb einer Web Application Firewall und soll SQL Injections und Cross Site Scripting Attacks verhindern. text/html 2024-02-27T11:41:18+00:00 Anonymous (anonymous@undisclosed.example.com) secure_coockie http://wiki.informatik.rwth-aachen.de/doku.php?id=it_best_practise:apache:secure_coockie&rev=1709034078&do=diff Secure Cookies unter Apache Versionsinformation Die Anleitungen in diesem Dokument wurden auf Basis folgender Softwareversionen erstellt. * OS: Ubuntu 16.04.2 LTS * Webserver: Apache 2.4.18 Secure Flag Falls eine Website über HTTP und HTTPS erreichbar ist, werden gespeicherte Cookies bei Zugriff über HTTP unverschlüsselt versendet. D.h. selbst falls ein User normalerweise auf eine Seite nur über HTTPS zugreift, kann ein Angreifer seine Cookies unverschlüsselt abgreifen, sobald er es sch… text/html 2024-02-27T11:41:18+00:00 Anonymous (anonymous@undisclosed.example.com) ssl_settings http://wiki.informatik.rwth-aachen.de/doku.php?id=it_best_practise:apache:ssl_settings&rev=1709034078&do=diff Apache SSL Einstellungen Versionsinformation Die Anleitungen in diesem Dokument wurden auf Basis folgender Softwareversionen erstellt. * OS: CentOS 7 * Webserver: Apache 2.4.6 Allgemeine SSL Einstellungen Laut der Website bettercrypto.org werden folgende SSL Einstellungen empfohlen: