Bei all dem, was an Arbeit zusammenkommt, frage ich mich, wann eigentlich mal Zeit fürs eigentliche Produkt übrig bleibt.
Nach einem Hinweis beim Hostblogger habe ich mich daran gemacht, die Website noch ein Stück weiter abzudichten. Auf eine gehackte Website kann ich gut verzichten.
Bei SSL Labs sieht es schon ganz gut aus. Mozilla war aber noch nicht so recht zufrieden und wollte noch einige weitere Header haben, die sich nach meinem Verständnis vor allem mit XSS-Themen beschäftigen. Nach einem Nachmittag Herumspielen mit der NGINX-Konfiguration ist nun zwar Mozilla zufrieden, aber der WordPress-Editor funktioniert nicht mehr wirklich. Wenn also die Postings ein bisschen seltsam aussehen, liegt das daran. Vermutlich fehlt “unsafe-inline”, so dass der Header dann heißt:
Content-Security-Policy: default-src 'self' 'unsafe-online'
Irgendwann wird auch das fertig…

Update: nachdem WordPress so gut wie gar nicht mehr bedienbar war, habe ich die CSP-Headers wieder aus dem NGINX entfernt. Jetzt kümmert sich das WordPress-Plugin WP Content Security Policy Plugin darum. Das reicht bei Mozilla zwar nur für ein “B”, also Schulnote 2, aber sonst müssten die ganzen im HTML-Code enthaltenen Javascript-Schnipsel einzeln signiert werden. Und da hört der Spaß dann auf.

OwnCloud dagegen hatte kein Problem mit sehr restriktiven CSP-Einstellungen.