dF Blog

In der vergangenen Woche haben wir mit dem Beitrag “Skript-Sicherheit mittels PHP.INI erhöhen” einige Optionen genannt, mit der Sie als Kunde Ihre eingesetzten Skripte etwas eindämmen und die Sicherheit auf dem Webspace erhöhen können. Heute möchten wir Ihnen weitere Möglichkeiten und Hinweise geben, um es Angreifern schwerer zu machen und deren Schaden zu verringern.

Alle beschriebenen Optionen bieten keinen 100-prozentigen Schutz und sind nur als zusätzliche Maßnahmen anzusehen. Bitte prüfen Sie im Einzelfall, ob die genannten Maßnahmen für Sie überhaupt sinnvoll nutzbar sind.

1. Nutzen Sie wo immer möglich eine Quota zur Abtrennung einzelner Verzeichnisse/Bereiche, so dass im schlimmsten Fall nur dieser Bereich betroffen ist und nicht Ihr kompletter Webserver. Die Einrichtung von Quotas nehmen Sie bitte im Kundenmenü in der Rubrik “Für Profis” unter dem Menüpunkt “Verzeichnisse/Quotas” vor.
2. Setzen Sie in der php.ini-Datei Ihrer Domain(s) die sicheren PHP-Einstellungen, sofern Sie keine eigene PHP.INI verwenden möchten/können. IM Kundenmenü finden Sie Option bei der PHP-Versionsauswahl über den Menüpunkt “Allgemeines” -> “PHP-Version”.
3. Sichern Sie sensible Bereiche zusätzlich mit einem Passwortschutz per .htaccess ab. Beispielsweise die URL bzw. den Pfad für die Administrationsoberfläche. (Wie Sie einen solchen Passwortschutz erstellen, beschreiben wir in unseren FAQ: Wie kann ich einen geschützten Bereich für meine Homepage einrichten?

4. Nutzen Sie für sensiblere Bereiche wie den Login zusätzlich eine sichere Verbindung mittels SSL. Auch ohne eigenes Zertifikat kann beispielsweise über unseren SSL-Proxy “https” genutzt werden. Alle Informationen dazu finden Sie ebenfalls in unseren FAQ: Wie rufe ich meine Seite mit SSL-Verschlüsselung auf?

5. Falls Sie selbst entwickelte PHP-Skripte einsetzen, sollten Sie bestimmte Grundregeln zur sicheren Entwicklung von PHP-Skripten beachten. Hierzu gehört es vor allem:- sämtliche Benutzereingaben zu validieren, um ein Einschleusen von ungültigen und ggf. schadhaften Werten/Parametern zu verhindern.
   • Zugangsdaten (z. B. zu Admin-Backends oder Datenbanken) nicht im Klartext auf dem Webserver zu speichern, sofern dies möglich ist. Häufig ist hier ein Abgleich mit einem Hash-Wert des Passwortes ausreichend.- sichere Passwörter zu verwenden, ab 10 Stellen und mit Buchstaben- und Zahlenkombinationen sowie Sonderzeichen.
   • Bitte verwenden Sie nach Möglichkeit die jeweils aktuellste der angebotenen PHP-Version (z.B. PHP 5.2.17 oder PHP 5.3.10), um auszuschließen, dass durch in PHP vorhandene Fehler und Sicherheitslücken Schadcode auf Ihrem Webspace ausgeführt wird. Selbes gilt für die MySQL-Datenbanken.
6. Besitzen Sie bei uns einen Managed- oder ResellerDedicated-Server, so können Sie über das Kundenmenü mittels einer Anfrage an unsere Technikabteilung für den Webserver nachfolgende Werte setzen lassen:
   • ServerTokens ProductOnly (Diese Einstellung gilt für den gesamten Server und veranlasst den Webserver nur seinen Namen auszugeben, nicht jedoch die genaue Versionsnummer oder eingesetzte Module)
   • ServerSignature Off (Der Webserver erzeugt keine Informationsfußzeile mehr unter ausgelieferte Dokumente)
   • Für beide Einstellungen gilt: Es gibt Anwendungen, die die zurückgegebenen Werte auswerten und ohne vollständige Informationen Fehler verursachen. Ebenfalls gelten diese Optionen für den kompletten Server, einzelne Domains können davon nicht ausgenommen werden.

Auch die Leistungsbeschreibung der SSL-Zertifikate wurde auf heute überarbeitet und auf das aktuelle Layout umgestellt, das Sie bereits von den Seiten für ManagedServer, MyHome Plus oder ManagedHosting Pro kennen.

Optisch gibt es nur wenige sichtbare Unterschiede; durch das Ersetzen einiger Grafiken durch Text und den Umbau der Seite kommt es aber zu einer deutlichen Reduzierung der Ladezeit

Unsere SSL-Zertifikate finden Sie hier.

Kleine Neuerung bei unseren Produkten:

Über uns beziehbare SSL-Zertifikate von GeoTrust sind ab sofort mit einer Multi-Serverlizenz ausgestattet. Durfte ein SSL-Zertifikat bisher ausschließlich auf einem einzelnen Server eingesetzt werden, können Zertifikate nun auf beliebig vielen Servern installiert werden.

Zu den SSL-Zertifikaten auf der Webseite von domainFACTORY

Es freut uns, Sie hiermit über die Einführung neuer SSL-Zertifikate bei domainFACTORY informieren zu können. Dabei haben wir ein besonderes Augenmerk vor allem auf die Erweiterung des Produktportfolios und die providerunabhängige Nutzbarkeit gelegt.

So bieten wir zukünftig neben den Produkten

• “Geotrust RapidSSL” (19,95 €*) mit automatischer Verifizierung und Aktivierung
• “Geotrust RapidSSL Wildcard” (89,95 €*) für mehrere Subdomains einer Domain

zusätzlich die folgenden SSL-Zertifikate an:

• GeoTrust TrueBusinessID (99,95 €*) mit Validierung des Inhabers. Das Zertifikat eignet sich somit vor allem für mit einem höheren Bedürnfis an Vertrauenswürdigkeit einhergehenden Webseiten/Onlineshops, bei denen die vereinfachte automatische Prüfung der RapidSSL-Zertifikate nicht ausreicht.
• GeoTrust TrueBusinessID mit erweiterter Validierung (199,95 €*). Hierbei handelt es sich um als besonders sicher geltende Zertifikate, die z.B. häufig bei Onlinebanking- und anderen sehr sensiblen Webseiten eingesetzt werden. Der große Vorteil bei diesen Zertifikaten ist die in vielen Browsern grün gehaltene Adressleiste, welche auf den ersten Blick Vertrauenswürdigkeit und Sicherheit signalisiert.
• GeoTrust TrueBusiness ID Wildcard (399,95 €*) – für alle Subdomains einer gewählten Domain gültiges SSL-Zertifikat mit Inhabervalidierung. “Wildcard”-Zertifikate eignen sich dann, wenn sehr viele Subdomains gleichzeitig (und damit unterm Strich kostengünstig) über das gleiche Zertifikat abgesichert werden sollen. Im Normalfall kann ja jedes Zertifikat nur mit einer ganz bestimmten (Sub-)Domain genutzt werden.

Während die bisher angebotenen SSL-Zertifikate nur für bei uns gehostete Webseiten eingesetzt werden konnten, ist nun erstmalig auch alternativ die Nutzung mit nicht bei uns registrierten Domainnamen möglich. Einzige Voraussetzung dafür ist, dass Ihr Provider die entsprechende Installation aktiv unterstützt bzw. Sie als Serverbetreiber die entsprechenden technischen Schritte selbst ausführen können. Für bei uns genutzte Zertifikate übernehmen wir natürlich die Installation und Aktivierung, so dass Ihnen als Kunde kein Mehraufwand entsteht.

Übrigens: Die SSL-Zertifikatbestellung im Kundenmenü haben wir vollständig erneuert und dabei umfangreich verbessert. So führt nun z.B. ein übersichtlicher Assistent Schritt für Schritt durch die Bestellung und erlaubt auch den Download der nötigen Dateien für den Einsatz des Zertifikates bei einem anderen Provider.

Sofern Sie noch kein Kunde sind und nur SSL-Zertifikate bestellen müssen, ist dies natürlich jederzeit in Verbindung mit dem an sich kostenfreien “DomainManager” Tarif möglich. Verfügen Sie bereits über einen domainFACTORY-Tarif, ist eine Bestellung im Kundenmenü (Link “SSL-Zertifikate”) möglich.

Weitere Informationen finden Sie auch…

• …auf unserer Homepage
• …in unseren FAQ
• …in unserem Kundenforum

*) Jahrespreis inkl. ges. Mehrwertsteuer

Am heutigen Vormittag werden wir die SSL-Konfiguration aller SharedHosting-Webserver umstellen und damit alte, nicht mehr als sicher geltende SSL-Protokolle und Verschlüsselungsalgorithmen entfernen.  Mal ganz abgesehen davon, dass diese sowieso für kaum einen Nutzer noch einen Praxiswert haben, stellt diese Änderung auch eine Voraussetzung für die Einhaltung des “Payment Card Industriy Data Security Standards” (kurz PCI) dar, der für bei uns hostende und ihren Kunden Kreditkartenzahlung anbietende Shopanbieter usw. von Bedeutung ist.

Die neue Konfiguration wurde seit längerer Zeit aktiv bei uns getestet und selbst genutzt, weshalb wir mit keinen Problemen  auf Kundenseite rechnen. In Einzelfällen könnten Benutzer verwalteter Browser eine SSL-Fehlermeldung erhalten; dann ist ein Upgrade auf einen (halbwegs) aktuellen Internetbrowser dringend zu empfehlen – nicht zuletzt aufgrund oft gravierender Sicherheitsmängel in den veralteten Programmversionen.

Die Umstellung der dedizierten Server erfolgt übrigens selbstverständlich auch – und zwar noch im Laufe dieser Woche.