[NG] Unsichere Cookies - Druckversion +- MyBB.de Forum (https://www.mybb.de/forum) +-- Forum: MyBB 1.8.x (https://www.mybb.de/forum/forum-87.html) +--- Forum: Bugs (https://www.mybb.de/forum/forum-90.html) +---- Forum: Gemeldete/Nicht gemeldete Bugs (https://www.mybb.de/forum/forum-92.html) +---- Thema: [NG] Unsichere Cookies (/thread-36356.html) |
[NG] Unsichere Cookies - kettwiesel - 27.03.2019 Hallo MyBB Deutschland, schön mal wieder bei euch zu sein. MyBB sicherer machen. Tipp 1. Ich habe einen Fehler gefunden und wollte euch diesen Tipp geben da das anscheinend bis jetzt keiner bemerkt hat. Und zwar, bin ich dabei ein Forum aufzubauen was so sicher wie nur irgendwie möglich sein soll, also habe ich mit diversen Online Tools das Forum ab scannen lassen um zu sehen wo man was verbessern könnte. Dabei hat sich herausgestellt, das das Forum trotz HTTPS Verbindung unsichere Cookies verwendet. So wurde es mir angezeigt. Erst dachte ich ok, der Fehler scheint bei mir zu liegen, oder am Server selbst also habe ich mal alle möglichen Foren die ich so kenne besucht und darauf geprüft, das Ergebnis? Es ist überall das gleiche, auch bei eurer Seite hier wurde das so angezeigt. Ich dachte erst das ist ein Problem von irgendeinem Plugin, aber weit gefehlt ist es nicht, denn bei einer neuen Nackten Installation ist es auch da. Dazu sei auch gesagt, es kann durchaus Sinn machen das so zu belassen wein ein Server neu aufgebaut wird! Die Option, in der Konfiguration nur Sichere Cookies an oder abzuwählen in MyBB selbst ist wirkungslos! Fals jemand denkt man müsste nur dort einen Haken setzen. Lange Rede Kurzer Sinn.... Die Lösung mit den Ungesicherten Cookies ist ganz einfach. man rufe die Seite auf https://www.ionos.de/tools/website-check auf gibt seine Seite ein, dann seht ihr den Fehler mit den Unsicheren Cookie. Lösung: Öffnet die Datei Forum/inc/funktions.php in der Zeile 1873 (so zumindest bei mir) Aktuelle letzte Version 1.8 X dort ist die Zeile PHP-Code: function my_setcookie($name, $value="", $expires="", $httponly=false, $samesite="") PHP-Code: function my_setcookie($name, $value="", $expires="", $httponly=true, $samesite="") Ändert es von false auf true, und siehe da die Kiste ist Sicher ! Den Onlinecheck noch mal drüber laufen lassen zum Prüfen fertig. Wünsche frohes gelingen. ############################################ Tipp 2. Und noch ein Tipp nebenbei erwähnt in Bezug auf die .htaccess Datei. in die .htaccess Datei fügt man folgende Zeile ein, dann hat man 100% bei den Sicherheitstests. Achtung für Updates ist es besser wenn man vorher die htaccess Datei so hochläd wie sie im Originalzustand ist! Sonnst kommt es zu Fehlern beim Update! Und nach dem Update kann man diese ja wieder hochladen. PHP-Code: <IfModule mod_env.c> Tipp 3. Wer Proxys Sperren will PHP-Code: ###Standard Proxysperre Tipp 4. Quasi eine Firewall PHP-Code: ### Firewall - Die HINWEISSEITE.HTML müsst ihr natürlich erstellen. die Zeile PHP-Code: ###RewriteCond %{HTTP_COOKIE} (;|<|>|`|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00|%60).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR] Und zwecks SSL allgemein um das nicht zu vergessen.... PHP-Code: RewriteBase /forum/ ################## Oh hätte ich fasst vergessen... Wer diverse Länder aussperren will, beispielsweise wer eh nur ein Deutsches Forum betreibt.... Dieses Beispiel lässt, Deutschland, Österreich, Schweiz und Russland zu alles andere nicht. PHP-Code: ####Ländersperre Ich kann euch sagen diese Kombination ist Gold wert, hält einen viele Plage Geister vom Hals. eine 100% Sicherheit wird es nie geben, aber das ist echt äußert wirkungsvoll, weil es eben auf Serverebene schon greift. Hier mal ein Bildschirmausdruck der Meldung damit ihr das besser versteht was ich meine. RE: Unsichere Cookies - StefanT - 27.03.2019 Hier liegt kein Bug vor. Dir scheint die Funktionsweise der Attribute HttpOnly und Secure nicht klar zu sein. HttpOnly sorgt dafür, dass ein Cookie nicht per Javascript ausgelesen werden kann. Dieses Attribute wird bei den Authentifizierungs- und Session-Cookies gesetzt, andere Cookies sind entweder nicht schützenswert oder werden für Javascript-Funktionen benötigt. Secure verhindert, dass die Cookies auch über eine unverschlüsselte HTTP-Verbindung übertragen werden. Diese Option sollte nur aktiviert werden, wenn das Forum ausschließlich über HTTPS erreichbar ist. Bei den anderen Tipps kann ich nur zur Vorsicht raten. Dabei handelt es sich nicht um Empfehlungen, die bedenkenlos übernommen werden sollten. Für die HTTP-Header gibt es besser Guides und Vorschläge, unter anderem in der MyBB-Dokumentation, bei Mozilla und https://securityheaders.com/ Tipp 3 und 5 sperren sehr leicht legitime User sowie Suchmaschinen aus und die Schutzwirkung von Tipp 4 ist eher fraglich. RE: [NG] Unsichere Cookies - kettwiesel - 27.03.2019 Aha verstehe, werde mir das alles in ruhe ansehen. Habt ihr dafür nicht eine Beispielvorlage die man dann anpassen kann, danke im Voraus. RE: [NG] Unsichere Cookies - StefanT - 28.03.2019 So wie in der verlinkten MyBB-Dokumentation? |