Dokumentation zur Verwaltung von Buchungen und Terminen

Der WWW-Browser unterstützt mit der aktuellen Einstellung kein JavaScript!
Eine Reihe von Funktionen, welche die Benutzung des Portals erleichtern, steht nicht zur Verfügung.
JavaScript sollte aktiviert werden (siehe hier).

Inhalt > Allgemeines zum FKS-Portal > Sicherheit

1.6. Sicherheit

Um die Kundendaten vor Missbrauch durch Dritte zu schützen, sollte das Portal nur über die Adressen https://www.selketalbahn.de/veranstaltungen/ oder https://www.freundeskreis-selketalbahn.de/veranstaltungen/ aufgerufen werden.

Beim Internet-Protokoll „https“ werden – im Gegensatz zum Protokoll „http“ (ohne „s“) – verschlüsselt übertragen.
Um die Verschlüsselung nutzen zu können, ist für die WWW-Adressen ein SSL-Zertifikat (SSL = Secure Socket Layer; sichere Transportschicht für Datenaustausch) eingerichtet.
Im WWW-Browser muss meist einmalig das Zertifikat angenommen/für die WWW-Adresse eine Ausnahme hinzugefügt werden.

Die Bestandteile des Portals sind so aufgebaut, dass unerwünschte Manipulationen durch Dritte erschwert werden. Das Aussehen (Style) wird nicht direkt bei den Anzeigeelementen festgelegt sondern in separaten Style-Sheet-Dateien (CSS-Dateien; CSS = Cascading Style Sheets).
Die JavaScript-Anweisungen sind in separaten JS-Dateien ausgelagert.

Das Portal benutzt Cookies. Darin wird lediglich der Name der Einstellungen (Spaltenauswahl, Sortierreihenfolge, Filter) der Buchungslisten und der Adresslisten gespeichert.

Im Kopf (Header) der WWW-Seite des Portals werden Informationen zum Schutz vor bestimmten Missbrauchsmethoden übertragen

X-Frame-Options

Mit der X-Frame-Options wird verhindert, dass die Seite im Rahmen (Frame) einer fremden Seite angezeigt werden kann.
Häcker nutzen das Anzeigen von Seiten in einem Rahmen mitunter zu „clickjacking“-Attacken. Über die im Rahmen angezeigten Inhalte werden nicht sichtbare Schalter, Verweise oder Ähnliches gelegt. Wenn der Betrachter meint, mit der im Rahmen angezeigten WWW-Seite zu interaktieren, wird etwas ganz anderes ausgelöst.

X-XSS-Protection

Mit der X-XSS-Protection werden bei einigen Browsern die Filter Cross-site-Scripting (XSS) aktiviert, um XSS-Attacken zu verhindern.
Häckern wird damit erschwert, unerwünschten Code in eine WWW-Seite einzuschleusen.

X-Content-Type-Options

Mit dem Wert „nosniff“ bei den X-Content-Type-Options wird bei diversen Browsern eingestellt, dass diese Dateien nicht auswerten/anzeigen/ausführen, wenn Inhalt und Typ nicht zueinander passen.
Ohne die Einstellung könnte statt eines Bildes mit dem Dateianhang „.gif“ JavaScript in eine WWW-Seite infiltriert werden. Mit dem Schutz werden nur JavaScript-Dateien mit der Dateiendung „.js“ ausgeführt.

X-WebKit-CSP, X-Content-Security-Policy, Content-Security-Policy

Die Optionen haben die selbe Bedeutung. Die verschiedenen Browser verstehen nur bestimmte Optionen. Deshalb sind mehrere Optionen angegeben.
Die Werte der Optionen sind so eingestellt, dass nur Dateien (Bilder, Stylesheets, JavaScript, PHP-Skripte, …) in die WWW-Seite integriert werden können, die von der selben Domäne stammen. So wird das Einschleusen fremder Dateien mit unerwünschtem Inhalt vermiden.

Tastaturkürzel < Sicherheit > Fehlerbehandlung