X-Git-Url: http://wagnertech.de/git?a=blobdiff_plain;f=doc%2Fhtml%2Fch02s06.html;h=6dd9b8315190e2b038fff2f037e63e564c4f59f9;hb=c49684f8b604a4318679d3a6828f0ffaafdfe2d4;hp=129a0b405fee1d9fba6557e1b4599cacac9c0230;hpb=6f71958a04dab52b4764ea340a50a491f5528e32;p=kivitendo-erp.git diff --git a/doc/html/ch02s06.html b/doc/html/ch02s06.html index 129a0b405..6dd9b8315 100644 --- a/doc/html/ch02s06.html +++ b/doc/html/ch02s06.html @@ -1,6 +1,6 @@
-Anmerkung | |||
---|---|---|---|
Für einen deutlichen Performanceschub sorgt die Ausführung +
Der Zugriff auf das Programmverzeichnis muss in der Apache
Webserverkonfigurationsdatei Dann ist unter
Kivitendo unterstützt, dass Benutzerauthentifizierung über den Webserver mittels des »Basic«-HTTP-Authentifizierungs-Schema erfolgt
(siehe RFC 7617). Dazu ist es aber nötig, dass der dabei vom Client
mitgeschickte Header SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1 + SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1 Aufgrund von aktuellen (Mitte 2020) Sicherheitswarnungen für git basierte Webanwendungen ist die mitausgelieferte .htaccess restriktiver geworden und verhindert somit das Auslesen von git basierten Daten. Für debian/ubuntu muss das Modul mod_rewrite einmalig so aktiviert werden: @@ -121,14 +121,20 @@ Alias /url/for/kivitendo-erp-fcgid/ /path/to/kivitendo-erp/ sowie ferner auch die Möglichkeit nicht ausschlieÃen, dass es in Unterverzeichnissen auch noch .git Repositories geben kann. Die Empfehlung für Apache 2.4 wäre damit: - <DirectoryMatch "(\.git|config)/"> + <DirectoryMatch "/(\.git|config)/"> Require all denied </DirectoryMatch> - Für einen deutlichen Sicherheitsmehrwert sorgt die Ausführung von kivitendo nur über https-verschlüsselten Verbindungen, sowie weiteren Zusatzmassnahmen, wie beispielsweise Basic Authenticate. Die Konfigurationsmöglichkeiten sprengen allerdings den Rahmen dieser Anleitung, hier ein Hinweis auf einen entsprechenden Foreneintrag (Stand Sept. 2015) und einen aktuellen (Stand Mai 2017) - SSL-Konfigurations-Generator. Aufgrund des OpenSource Charakters ist kivitendo nicht "out of the box" sicher. + Organisatorisch empfehlen wir hier die enge Zusammenarbeit mit einem kivitendo Partner der auch in der +Lage ist weiterführende Fragen in Bezug auf Datenschutz und Datensicherheit zu beantworten. +Unabhängig davon empfehlen wir im Webserver Bereich die Aktivierung und Konfiguration des Moduls modsecurity für den Apache2, damit +XSS und SQL-Injections verhindert werden. Als Idee hierfür sei dieser Blog-Eintrag genannt: + + Test Apache2 modsecurity for SQL Injection. |