X-Content-Type-Options-Schwachstelle/DE

Aus Siwecos
Wechseln zu: Navigation, Suche

Überprüfung des X-Content-Type Headers

Check X-Content-Type Header fehlt
Beschreibung Die X-Content-Type-Options Einstellungen im Header verhindern, dass der Browser Dateien als etwas anderes interpretiert, als vom Inhaltstyp im HTTP-Header deklariert wurde. Die Headereinstellungen sind hier nicht gesetzt.
Hintergrund Es existiert nur ein definierbarer Wert „nosniff“, dieser verhindert, dass der Internet Explorer und Google Chrome unabhängig vom deklarierten Content-Type (z.B. text/html) nach weiteren möglichen MIME-Types suchen. Für Chrome gilt dies auch für das Herunterladen von Erweiterungen. Der Headereintrag reduziert die Belastung durch sog. Drive-by-Download-Attacken. Webseiten, die den Upload von Dateien unterstützen und die, wenn deren Namen geschickt gewählt wurden, vom Browser als ausführbare Datei oder dynamische HTML-Datei behandelt werden, könnten damit Ihren Rechner oder andere mit Schadcode infizieren. Weitere Informationen zu X-Content-Type-Options finden Sie im Bericht von Golem.de.
Auswirkung Einfach und ohne weitere Anpassungen zu implementieren. Verhindert Angriffe auf Nutzer des Internet Explorers.
Lösung / Tipps nosniff;

Beispielcode einer .htaccess auf einem Apache Webserver.

--snip
<IfModule mod_headers.c>
   # prevent mime based attacks like drive-by download attacks, IE and Chrome
   '''Header set X-Content-Type-Options „nosniff“'''
<pre></IfModule>

—snap

Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den HTTP-Security-Header-Scanner Grün zu stimmen. (.htaccess-Beispiel)