X-Content-Type-Options-Schwachstelle/DE

Aus Siwecos
Wechseln zu: Navigation, Suche

Überprüfung des X-Content-Type Headers

Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.

Ergebnis positiv Der HTTP-Header ist korrekt gesetzt.
Ergebnis negativ X-Content-Type Header fehlt.
Beschreibung Die X-Content-Type-Options Einstellungen im Header verhindern, dass der Browser Dateien als etwas anderes interpretiert, als vom Inhaltstyp im HTTP-Header deklariert wurde. Die Headereinstellungen sind hier nicht gesetzt.
Hintergrund Es existiert nur ein definierbarer Wert nosniff, dieser verhindert, dass der Internet Explorer und Google Chrome unabhängig vom deklarierten Content-Type (z. B. text/html) nach weiteren möglichen MIME-Types suchen. Für Chrome gilt dies auch für das Herunterladen von Erweiterungen. Der Headereintrag reduziert die Belastung durch sog. Drive-by-Download-Attacken. Webseiten, die den Upload von Dateien unterstützen und die, wenn deren Namen geschickt gewählt wurden, vom Browser als ausführbare Datei oder dynamische HTML-Datei behandelt werden, könnten damit Ihren Rechner oder andere mit Schadcode infizieren. Weitere Informationen zu X-Content-Type-Options finden Sie im Bericht von Golem.de.
Auswirkung Einfach und ohne weitere Anpassungen zu implementieren. Verhindert Angriffe auf Nutzer des Internet Explorers.
Lösung/Tipps nosniff;

Beispielcode einer .htaccess auf einem Apache Webserver

<IfModule mod_headers.c>
  # prevent mime based attacks like drive-by download attacks, IE and Chrome
  Header set X-Content-Type-Options "nosniff"
</IfModule>

Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel)