Pagekit: Neuer Stern am CMS-Himmel

Ich persönlich kann von neuen Content-Management-Systemen nie genug kriegen. Wie geht’s Ihnen? Heute möchte ich das CMS Pagekit vorstellen, das gestern nach längerer Entwicklungszeit in der Version 1.0 erschienen ist.

Pagekit: Neuer Stern am CMS-Himmel

Pagekit: Modern, modular, flexibel

Pagekit wird von YOOtheme entwickelt, den Jungs und Mädels aus Hamburg, die sich mit dem Warp Framework oder uikit einen Namen gemacht haben. Erste Hinweise darauf, dass da ein neues System im Busch ist, gab es bereits vor drei Jahren. Im Juli 2014 folgte dann der Start in die Public-Alpha-Phase.

Neben Symfony Components setzen die Entwickler auf Technologien wie Vue.js und Composer. Anzeichen dafür, dass es sich beim neuen CMS um ein solides Produkt handelt. Das System steht unter der MIT-Lizenz zum Download bereit.

Schlank und chic

Die Installation von Pagekit ist in wenigen Schritten erledigt und funktioniert einwandfrei auf unseren Webhosting-Paketen.

Pagekit lässt sich äusserst einfach installieren.

Pagekit lässt sich äusserst einfach installieren.

Die Entwickler setzen standardmässig auf SQLite als Datenbank. Das zusätzliche Anlegen einer MySQL-Datenbank entfällt damit. MySQL wird jedoch ebenfalls unterstützt und kann während der Installation ausgewählt werden.

Das Dashboard von Pagekit wirkt aufgeräumt.

Das Dashboard von Pagekit wirkt aufgeräumt.

Im Backend ist Pagekit eine Augenweide. Nach dem Login ins Backend grüsst ein übersichtliches Dashboard, das mit Widgets erweitert werden kann. Keine Spur von komplizierten Interfaces, wie das bei manch anderem CMS der Fall ist. Selbstverständlich lässt sich das Backend auch problemlos mit einem Smartphone oder Tablet bedienen. Ausserdem wird für die Erstellung aller Inhalte Markdown unterstützt, ein Feature, welches mir persönlich ganz besonders Freude macht.

Alles am richtigen Platz

Das System ist seitenbasiert, damit kommt jeder mit Pagekit zurecht, der schon einmal ein CMS bedient hat. Per Drag&Drop lassen sich einzelne Seiten am gewünschten Ort im Seitenbaum platzieren.

Benutzerrollen lassen sich fein granuliert justieren. Extensions und Themes sind nur einen Mausklick von der Installation entfernt. Und eine Blogfunktion wird von Haus aus mitgeliefert. Alles hat seinen Platz dort, wo man es erwarten würde. So muss das sein.

Ökosystem inklusive

Ein CMS zu entwickeln ist das Eine. Es zu einem erfolgreichen Produkt zu machen das Andere. Die Pagekit-Entwickler scheinen da auf einem guten Weg zu sein. So stimmt eben nicht nur der technische und optische Teil, sondern auch das Drumherum. Pagekit bietet einen Marktplatz, in welchem Designer und Entwickler Erweiterungen und Themes bereitstellen können. In Zukunft soll es zudem möglich sein, kostenpflichtige Module und Templates im Marktplatz anzubieten.

Rosige Aussichten

Mit Version 1.0 ist nun die erste stabile Version erschienen. Damit eignet sich Pagekit auch für Kundenprojekte. Für die Zukunft planen die Entwickler Funktionen wie Custom Fields, Revisionen, Taxonomien oder die Möglichkeit, Websites direkt im Frontend zu editieren. Auch eine Mehrsprachenunterstützung ist angedacht. Das macht Lust auf mehr.

Haben wir Ihr Interesse geweckt? Dann nichts wie los zur Projekt-Website pagekit.com

Schöne Bilder, gratis und frei nutzbar: Die 23 besten Stockfoto-Websites

Stockfotos, also Bilder die auf Vorrat geschossen werden, haben bei manchem Webdesigner einen schlechten Ruf. Meistens zu Recht, wenn man an langweilige Bilder von Geschäftsleuten mit aufgesetztem Lächeln denkt.

Stockfotos werden in der Regel von grossen Bildagenturen kostenpflichtig vertrieben. Doch es gibt sie, die kostenlosen Alternativen. In einer Qualität, die sich von kostenpflichtigen Angeboten überhaupt nicht verstecken muss. Dank der CC0-Lizenz, die vom Konzept her der Public Domain gleicht, können entsprechend lizenzierte Bilder ohne Namensnennung und selbst für kommerzielle Projekte genutzt werden.

Hinweis: Dieser Beitrag ist ursprünglich im März 2015 erschienen und nun aktualisiert worden.

23 Stockfoto-Websites, die einen Platz in den Favoriten verdient haben

Gute Quellen für Bilder kann man nie genug haben, darum sammeln wir regelmässig Linktipps zu Stockfotos. Auf diese 23 Websites lohnt sich ein Blick, wenn Sie auf der Suche nach passenden Fotos sind:

Magdeleine

magdeleine.co
Magdeleine bietet handverlesene Fotos, die entweder CC0-lizenziert sind oder eine Namensnennung benötigen.

FindA.Photo

finda.photo
Die Suchmaschine wirbt mit über 10’000 CC0-lizenzierten Bildern und fördert dank gutem Tagging immer wieder wahre Fundstücke zu Tage. Ausserdem lassen sich Fotos nach Farbe suchen.

SplitShire

splitshire.com
Auf der Website von Daniel Nanescu finden sich unter anderem wunderschöne Fotos im Vintage-Look, die komplett frei von Copyright sind.

Skuawk

skuawk.com
Skuawk bietet CC0-lizenzierte Fotos die in Kategorien wie Landscapes, Urban oder Food unterteilt sind.

KaboomPics

kaboompics.com
Die Bilder der polnischen Fotografin Karolina Grabowska können frei verwendet werden. Ein Backlink ist zwar nicht vorgeschrieben, aber durchaus gewünscht. Ein fairer Deal, wie wir finden.

tookapic

stock.tookapic.com
tookapic lädt dazu ein, mit einem «365 project» jeden Tag ein Foto zu schiessen und online zu stellen. Nebst einem Blog zu Foto-Themen und kostenpflichtigen Stockfotos bietet die Website auch eine ganze Menge kostenlose Bilder.

Albumarium

albumarium.com
Die Bilder bei Albumarium sind sauber in Alben sortiert und unter der CC BY 2.0-Lizenz nutzbar.

StreetWill.co

streetwill.co
StreetWill.co hat sich komplett dem Thema «Fotos im Vintage-Look» verschrieben und bietet Bilder unter der CC0-Lizenz zum Download an.

LibreShot.com

libreshot.com
Die Fotos von Martin Vorel sind CC0-lizenziert und sind damit frei von jeglichen Copyrights.

Skitterphoto

skitterphoto.com
Über 800 Fotos bietet Skitterphoto zum Download an. Die Bilder stehen, Sie haben es geahnt, unter der CC0-Lizenz.

Pixabay

pixabay.com
Das Urgestein unter den Quellen für kostenlose Fotos. Neben Fotos findet man bei Pixabay auch kostenlose Vektorgrafiken und Illustrationen.

StockPhotos

stockphotos.ioAuf der im Pinterest-Stil gehaltenen Website finden Sie Bilder die entweder Teil der Public-Domain oder Creative-Commons-lizenziert sind, welche auch die kommerzielle Verwendung erlaubt.

New Old Stock

nos.twnsnd.coDie Website bietet historische Fotos, die aus öffentlichen Archiven von Institutionen wie dem Finnischen Museum für Fotografie stammen und frei von bekannten Urheberrechtsbeschränkungen sind.

StockSnap

stocksnap.ioDie Betreiber der Website sammeln sowohl die besten Fotos im Netz als auch Einsendungen von Benutzern. Sämtliche Bilder sind CC0-lizenziert.

Little Visuals

littlevisuals.coDie Website war eine der ersten, auf der man sich für eine wöchentliche Lieferung von Fotos per E-Mail anmelden konnte. Leider ist der Betreiber verstorben, weshalb keine neuen Bilder hinzugefügt werden. Ein Blick auf die Bilderauswahl (CC0-lizenziert) lohnt sich aber trotzdem.

Unsplash

unsplash.comEbenfalls eine Website, die regelmässig neue Fotos ins eigene Postfach liefert. Made with Unsplash zeigt die schönsten Werke, in denen die CC0-lizenzierten Unsplash-Fotos verwendet werden.

Death to the stock photo

deathtothestockphoto.comDie Website versorgt Sie im Monatstakt kostenlos mit neuen Fotos, die Sie auch in kommerziellen Projekten nutzen dürfen. Der Zugang zur vollständigen Bibliothek ist jedoch kostenpflichtig.

picjumbo

picjumbo.comKeine Stockfoto-Agentur wollte die Bilder von Viktor Hanáček. Also hat er einfach sein eigenes Projekt gestartet. Die Bilder lassen sich sehen und auch in kommerziellen Projekten nutzen.

Gratisography

gratisography.comDer Name sagt es schon: Die Website bietet kostenlose, CC0-lizenzierte Bilder. Dazu kreative Motive, die Sie so auf anderen Websites nicht finden.

Pexels

pexels.comDie Website aggregiert CC0-lizenzierte Fotos aus anderen Quellen und dient als Suchmaschine.

Life of Pix

lifeofpix.comDie Website bietet wunderschöne Fotos ohne Restriktionen. Auf der Schwesterseite Life of Vids finde Sie ausserdem Videos, die ebenfalls ohne Einschränkungen verwendet werden dürfen.

Frame

frame.lab25.co.ukKeine Stockfoto-Website im herkömmlichen Sinn, sondern ein praktischer Generator, der Ihren Screenshot auf Fotos der verschiedensten Computer- und Smartphone-Bildschirme zaubert.

Smartmockups

smartmockups.com
Wie bei Frame lassen sich auch mit Smartmockups kinderleicht Mockups in ahnsehnliche Stockfotos zaubern.

Creative Commons, die Lizenz fürs Internet

Dank den einfach verständlichen Creative Commons-Lizenzen kann jeder Urheber seine Werke unkompliziert für die Weiterverwendung freigeben. Je nach Gusto können die eigenen Werke mit mehr oder wenige Restriktionen ausgestattet werden. Damit stehen die Creative Commons zwischen dem herkömmlichen Copyright und der Public Domain (Gemeinfreiheit).

Sämtliche Rechte an einem Werk freizugeben, also ein Werk der Allgemeinheit zu überlassen, ist mit unserem heutigen Urheberrecht umständlicher als man meinen könnte. Deshalb hat die Organisation hinter den Creative Commons die CC0-Lizenz ins Leben gerufen. Die CC0-Lizenz unterscheidet sich von der Public Domain unter anderem darin, dass sie nur vom Urheber selbst für seine Werke festgelegt werden kann.

Verlinken macht glücklich

Bilder die Teil der Public-Domain oder CC0-lizenziert sind, dürfen frei verwendet werden und benötigen keinerlei Hinweise auf die Quelle oder den Urheber. Selbstverständlich freuen sich die Autoren der Werke aber trotzdem über einen Link auf ihre Website.

Wenn Sie das Bild nicht direkt mit der Quelle verlinken oder die Quelle in der Bildunterschrift erwähnen möchten, eignet sich auch das eigene Impressum, um einen Link unterzubringen.

Neues Überwachungsgesetz BÜPF: Gefahr für den Internetstandort Schweiz

Jetzt ist es offiziell: Das neue BÜPF (Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs) wurde von den eidgenössischen Räten verabschiedet und birgt zahlreiche, teils haarsträubende Verschlechterungen. So soll zum Beispiel neu auch das WLAN zu Hause unter das Gesetz fallen oder der Staatstrojaner legitimiert werden. Mit der Publikation am 28.03.2016 im Bundesblatt hat die 100-tägige Referendumsfrist begonnen. Während dieser Zeit müssen die Gegner des Gesetzes mindestens 50’000 Unterschriften zusammenbringen, um eine Volksabstimmung zu erzwingen.

BÜPF: Revision mit haarsträubenden Verschlechterungen

BÜPF: Revision mit haarsträubenden Verschlechterungen (Bild: stopbuepf.ch CC BY 4.0)

Breit gestreute Gegnerschaft

Für einmal scheint sich die Debatte nicht zwischen den politischen Lagern abzuspielen. Viel mehr tut sich der Graben zwischen Jung und Alt auf. Mit einer Ausnahme gehören alle Schweizer Jungparteien zu den Unterstützern des «Stop BÜPF»-Bündnisses. Man könnte es auch den Kampf zwischen «Digital Natives» und den «Digital Immigrants» nennen.

Auch die Digitale Gesellschaft, der Chaos Computer Club oder die Piratenpartei gehören zu den BÜPF-Gegnern. Aus der Wirtschaft unterstützen unter anderem der ICT-Branchenverband Swico, der Messenger-Anbieter Threema oder der ISP Init 7 (über dessen Leitung sie möglicherweise auf diesen Artikel gelangt sind) für das Referendum stark. Alles Experten auf den Gebieten ICT und Internet.

Nutzen von Vorratsdatenspeicherung stark umstritten

Der Nutzen von Vorratsdatenspeicherung wird von Experten angezweifelt. Studien sind zum Schluss gekommen, dass eine Vorratsdatenspeicherung nicht zu höheren Aufklärungsraten führt. Und der Europäische Gerichtshof (EuGH) hat erkannt, dass die Vorratsspeicherung von Daten zu einem Eingriff in die Grundrechte fast der gesamten europäischen Bevölkerung führe.

Man kann sich darum fragen, warum in der Schweiz die Speicherung der sogenannten Randdaten/Metadaten massiv ausgeweitet werden muss. Immerhin wurde die vorgeschriebene Speicherdauer bei den bereits jetzt geltenden 6 Monaten belassen. Ursprünglich war eine Ausweitung auf 12 Monate vorgesehen. Doch das ist nur ein schwacher Trost.

Adieu Innovation

Tief vergraben im neuen Gesetz findet sich ein Artikel, der jedem Unternehmer, ob jung oder alt, die Haare zu Berge stehen lässt.

Art. 25 Informationen über Dienstleistungen
Die Anbieterinnen von Fernmeldediensten informieren den Dienst auf dessen Verlangen jederzeit ausführlich über Art und Merkmale der Dienstleistungen, die sie auf den Markt gebracht haben oder innerhalb von 6 Monaten auf den Markt bringen wollen.

Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs

Der Verband Swico trifft mit seiner Stellungnahme den Nagel auf den Kopf:

Das BÜPF sieht allen Ernstes vor, dass Schweizer Firmen neue Produkte mit Kommunikationsfähigkeiten sechs Monate vor Lancierung den Behörden vorzulegen haben: Im Zeitalter von internationalem Wettbewerb und „Minimum viable products“ ein absoluter Innovationskiller. Damit werden in Zukunft in unserem Land sicher keine neuen Produkte mehr entwickelt. Insbesondere auch die Gaming-Industrie wird in Zukunft einen weiten Bogen um die Schweiz machen.

Stellungnahme von Swico zum BÜPF-Referendum

Man muss sich als Schweizer Anbieter fragen, ob die Schweiz wirklich noch der beste Standort für die Erbringung und Entwicklung von Internetdienstleistungen ist. Und das zu Zeiten, in denen die «Digitale Transformation» das Buzzword des Jahres ist und die Schweiz als Partnerland an der CeBIT auftritt.

Zurück an den Absender

Keine Frage, das bestehende BÜPF ist nicht mehr zeitgemäss und muss überarbeitet werden. Die nun vorliegende, revidierte Version des Gesetz strotzt jedoch nur so vor Verschlechterungen, sowohl was Grund- und Freiheitsrechte als auch die Pflichten von ICT-Anbietern angeht. Die Forderungen des «Stop Büpf»-Bündnisses wurden praktisch durchs Band ignoriert. Bleibt also noch der Weg über eine Volksabstimmung, um dieses Gesetz zu stoppen.

Wir alle sind von diesem Gesetz betroffen. Unsere Unterschriften sind dem Referendumskomitee deshalb sicher. Ihre auch? Auf stopbuepf.ch finden Sie weitere Informationen sowie passende Unterschriftenbogen.

1 Million SSL-Zertifikate: Let’s Encrypt ist nicht zu stoppen

1 Million SSL-Zertifikate hat die offene und kostenlose Zertifizierungsstelle Let’s Encrypt seit ihrem Start Anfang Dezember 2015 bislang ausgestellt. Über 1% davon, zurzeit etwas über 12’000 Zertifikate, entfallen dabei auf Websites unserer Kunden.

Über 1% der Let's Encrypt-Zertifikate sind auf Domains von cyon-Kunden ausgestellt.

Über 1% der Let’s Encrypt-Zertifikate sind für Domains von cyon-Kunden ausgestellt. Quelle: EFF

Mehr als nur kostenlose SSL-Zertifikate

Vor Let’s Encrypt stand man als Website-Betreiber vor der Entscheidung, ob man sich die Mühe machen sollte, seinen Besuchern eine verschlüsselte Verbindung anzubieten. Kostenlose SSL-Zertifikate sind keineswegs die Erfindung von Let’s Encrypt. Anbieter wie StartSSL, Cacert oder WoSign versorgen Kunden bereits seit Jahren mit kostenlosen, domainvalidierten, also sogenannten DV-Zertifikaten. Auch kostenpflichtige SSL-Zertifikate sind bereits für weniger als CHF 20.- pro Jahr zu haben und kosten damit nicht die Welt.

Die grosse Hürde lag vor Let’s Encrypt in der Beschaffung und der Installation eines Zertifikats. Der Vorgang war aufwendig und meist wenig benutzerfreundlich. All das hat sich zum guten Glück geändert. Die Let’s Encrypt-Initiative zeigt jetzt auch in der Branche der Zertifikateanbieter Wirkung. Vergangene Woche hat die Nummer Zwei der Branche, Symantec, das Programm «Encryption Everywhere» angekündigt. Bis 2018 sollen 100% aller Websites verschlüsselt ausgeliefert werden. Mit Sicherheit werden weitere kommerzielle Anbieter dem Beispiel folgen.

Was in der ganzen Diskussion um kostenlose Zertifikate unterzugehen droht: Die wahre Leistung von Let’s Encrypt liegt nicht (nur) im Angebot von kostenlosen SSL-Zertifikaten, sondern fusst im Grunde auf drei Pfeilern.

  1. Der Let’s Encrypt-Client erlaubt es Systemadministratoren, SSL-Zertifikate automatisiert anzufordern und auf dem eigenen Server zu installieren.
  2. Dabei macht sich der Client das ACME-Protokoll (Automated Certificate Management Environment) zu Nutze, das ebenfalls aus der Feder der Internet Security Research Group (ISRG), der Organisation hinter Let’s Encrypt, stammt.
  3. Schlussendlich wird die Zertifizierungsstelle Let’s Encrypt mit der ACME-basierten Software Boulder betrieben, die wie der Let’s Encrypt-Client quelloffen ist.

Damit deckt Let’s Encrypt von der Bestellung über die Ausstellung bis hin zur Installation eines SSL-Zertifikats sämtliche nötigen Schritte mit Open-Source-Software und einem zukünftigen IETF-Standard ab. Die Software kann, wie bei Open-Source üblich, angepasst, erweitert und für eigene Zwecke genutzt werden. Dank des offenen Standards ACME kann jeder seinen eigenen passenden Client schreiben und so dazu beitragen, dass das Internet ein wenig sicherer wird.

Cartoon-Fans haben es bereits erkannt: ACME und Boulder sind Anspielungen auf die Serie Road Runner. Meep meep.

Schon dabei?

Für rund 15% der bei uns gehosteten Websites wurde bereits eine kostenloses SSL-Zertifikat von Let’s Encrypt ausgestellt. Damit profitieren Besucher dieser Websites nicht nur von einer verschlüsselten Verbindung, sondern auch automatisch vom schnelleren HTTP/2-Protokoll. Ausserdem bevorzugt Google per HTTPS erreichbare Adressen.

Haben Sie für Ihre Websites noch keine kostenlosen SSL-Zertifikate beantragt? Loggen Sie sich jetzt in Ihr my.cyon-Konto ein und aktivieren Sie die Let’s Encrypt-Zertifikate mit nur einem Mausklick. Um die Erneuerung der Zertifikate brauchen Sie sich übrigens keine Sorgen zu machen, unser System erledigt das ohne Zutun. Kostenlos, versteht sich.

Content Security Policy: Schutz vor Cross-Site-Scripting

Mithilfe von Cross-Site-Scripting (XSS) lässt sich Böses mit einer Website anstellen. Eine ganze Menge Massnahmen helfen, XSS auf der eigenen Website zu verhindern. Eine dieser Möglichkeiten nennt sich Content Security Policy (CSP). Wir zeigen heute, was CSP ist, wie Sie für Ihre Website eine Policy definieren können und welche Stolperfallen lauern.

Helm auf! Eine Content Security Policy schützt vor Cross-Site-Scripting

Helm auf! Eine Content Security Policy schützt vor Cross-Site-Scripting

Wie es zur Content Security Policy kam

Content Security Policy (CSP) ist ein Konzept, um das Einschleusen von fremden Daten auf einer Website zu verhindern. Damals noch unter dem Namen «Content Restrictions» wurde das Konzept im Jahr 2004 erstmals von Robert Hansen vorgeschlagen. Als erster Browser unterstützte Firefox 4 die Content Security Policy, andere Browserhersteller zogen bald nach. Im Jahr 2012 wurde dann die erste Version, Content Security Policy 1.0 genannt, als «Candidate Recommendation» vom W3C publiziert. Mittlerweile wird bereits an der dritten Version, der Content Security Policy Level 3, gearbeitet.

So give it another year or so and we should have a workable defense against XSS on pages that must allow user submitted HTML and JavaScript – think eBay, MySpace, and so on.

— Quelle: ha.ckers.org via archive.org

War zu den Anfägen von CSP das Problem Cross-Site-Scripting noch ein Ding von Anbietern wie eBay oder MySpace, ist heutzutage praktisch jede Website potentiell anfällig auf Cross-Site-Scripting. Mit einer Content Security Policy lässt sich sehr genau definieren, aus welchen Quellen Inhalte geladen werden dürfen. Das schafft Sicherheit, führt früher oder später aber in eine Zwickmühle, wie sich gleich zeigen wird.

Wie definiere ich eine Content Security Policy?

Die CSP einer Website wird vorzugsweise im HTTP-Header definiert, kann aber auch als Meta-Tag direkt im Markup hinterlegt sein. Die Meta-Tag-Methode eignet sich vor allem für einzelne Seiten, für die spezielle Regeln gelten sollen. In unseren Beispielen wählen wir die HTTP-Header-Methode, die sich dank mod_headers bequem über die .htaccess-Datei steuern lässt. Alternativ können HTTP-Header auch direkt mithilfe von PHP-Code definiert werden.

Eine simple Content Security Policy liesse sich zum Beispiel mit folgender Anweisung in der .htaccess-Datei definieren:

Header set Content-Security-Policy "default-src 'self';"

Mit dieser CSP sind auf der entsprechenden Website nur noch Inhalte erlaubt, die auch über die aufgerufene Domain geladen werden. Externe und Inline-Scripts werden so verboten. Nutzen Sie auf Ihrer Website Scripts wie Google Analytics oder haben mit <script> im HTML-Markup Funktionen definiert, würden diese mit der gesetzten Policy nicht mehr funktionieren. Eine Lockerung der Regeln muss also her.

Mit

Header set Content-Security-Policy "default-src 'self' www.google-analytics.com;"

erlauben Sie zusätzlich zur eigenen Domain Inhalte, die über den Hostnamen www.google-analytics.com eingebunden sind.

Google Analytics generiert selbst Inline-Scripts. Erweitern wir die Regel noch mit 'unsafe-inline' sind auch Inline-Inhalte wieder erlaubt:

Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' cdn.example.com;"

Aber Achtung: Der Befehl 'unsafe-inline' hebelt den Hauptnutzen einer Content Security Policy aus. Damit ist nämlich das Einschleusen von Code, also Cross-Site-Scripting, wieder möglich. Und hier beginnt die oben erwähnte Zwickmühle, denn Tools wie Google Analytics funktionieren nur, wenn Inline-Scripts erlaubt sind. In vielen Fällen kann man damit das Thema CSP bereits abhaken.

Doch nicht nur Inline-Scripts machen in Verbindung mit einer Content Security Policy Probleme. Viele Scripts wie z.B. Widgets von Facebook oder Twitter sind darauf angewiesen, dass Code aus Drittquellen geladen werden darf. Die Adressen dieser Quellen müssen wiederum in der eigenen Policy freigeschaltet sein, damit der Browser den angeforderten Code zulässt. Da sich diese Hostnamen aber immer wieder einmal ändern und die Anbieter nur selten alle eingesetzten Adressen kommunizieren, wird eine strikte Content Security Policy früher oder später dazu führen, dass eingebundene Scripts nicht mehr wie gewünscht funktionieren. Im schlimmsten Fall wird eine Website damit unbenutzbar.

Zwischenschritt Reporting

Sie sehen, eine sinnvolle Content Security Policy benötigt etwas Arbeit. Es empfiehlt sich, die geplanten Regeln ausführlich zu testen, bevor sie im Livebetrieb eingesetzt werden. Zum Glück liefert CSP eine dazu passende Funktion mit. Mit Content-Security-Policy-Report-Only ahndet der Browser allfällige Policy-Verstösse nicht, sondern gibt entsprechende Fehlermeldungen in der Browserkonsole aus. So liesse sich also mit der Regel

Header set Content-Security-Policy-Report-Only "default-src 'self' 'unsafe-inline' cdn.example.com;"

die geplante Policy zuerst einmal auf Herz und Nieren prüfen.

CSP-Verstosse werden in der Browserkonsole angezeigt.

CSP-Verstosse werden in der Browserkonsole angezeigt.

Content-Security-Policy-Report-Only kann nicht nur Meldungen im Browser ausgeben, sondern auch Policy-Verstösse im JSON-Format an einen Endpunkt melden. Wer sich nicht die Mühe machen will, einen eigenen Endpunkt zu programmieren, findet unter report-uri.io einen tollen, kostenlosen Service, der nebst anderen praktischen Tools zum Thema CSP einen solchen Reporting-Endpunkt zur Verfügung stellt.

Einmal Upgrade bitte

Seit verschlüsselte Verbindungen zunehmend zum Standard werden, rückt eine CSP-Direktive ins Scheinwerferlicht. Mit upgrade-insecure-requests lassen sich unsichere, über HTTP eingebundene Quellen automatisch auf die sichere Variante HTTPS upgraden. Wird mit Header set Content-Security-Policy "upgrade-insecure-requests;" die Direktive gesetzt, lädt der Browser sämtliche Inhalte über HTTPS, selbst wenn diese «nur» über HTTP eingebunden sind. Zurzeit unterstützen Chrome, Firefox und Opera diese Funktion. IE-, Edge- und Safari-Nutzer bleiben vorerst aussen vor.

Browserunterstützung von upgrade-insecure-requests

Browserunterstützung von «upgrade-insecure-requests». Quelle: caniuse.com

Sicherheit für Besucher

Eine ausgeklügelte Content Security Policy bietet umfassende Möglichkeiten, Besucher Ihrer Website vor bösen Angriffen zu schützen. Sie schützt jedoch nicht, wenn Angreifer Zugriff auf Ihr Webhosting erlangen. Die CSP ersetzt also nicht die Pflege des eingesetzten Content-Management-Systems und das Schliessen von allfälligen Sicherheitslücken.

Möchten Sie eine Content Security Policy für Ihre Website implementieren? Im Netz finden Sie viel interessante Lektüre dazu. Als Startpunkt empfehlen wir die Website content-security-policy.com, das Mozilla Developer Network (MDN), html5rocks.com oder diesen Blogbeitrag von Diogo Mónica.

Seite 5 von 99« Erste...34567...102030...Letzte »