Projekt

Allgemein

Profil

Aktionen

GX-Bug #40611

geschlossen

IE Content "Sniffing" abschalten

Von Roy Norbart vor etwa 10 Jahren hinzugefügt. Vor etwa 10 Jahren aktualisiert.

Status:
Erledigt
Priorität:
Normal
Zugewiesen an:
Moritz Bunjes
Kategorie:
Security
Zielversion:
% erledigt:

100%

Geschätzter Aufwand:
Steps to reproduce:
Betroffene Versionen:
2.1.3.2
Release Notes Langtext:

Beschreibung

Der IE hat die Eigenheit Media-Informationen bei Problemen selbst zu ermitteln. Dies führt dazu, das z.B. manipulierte Bilddateien HTML / JS enthalten können.
Weitere Informationen unter:

https://blog.42.nl/articles/securing-web-applications-using-owasp-zap-passive-mode/ im Abschnitt: X-Content-Type-Options header missing (Low Risk)
http://www.h-online.com/security/features/Risky-MIME-sniffing-in-Internet-Explorer-746229.html


Aktionen #1

Von Jörg Wrase vor etwa 10 Jahren aktualisiert

  • Zugewiesen an wurde auf Jörg Wrase gesetzt
Aktionen #2

Von Jörg Wrase vor etwa 10 Jahren aktualisiert

  • Zugewiesen an Jörg Wrase wurde gelöscht
Aktionen #3

Von Jörg Wrase vor etwa 10 Jahren aktualisiert

  • Zugewiesen an wurde auf Jörg Wrase gesetzt
Aktionen #4

Von Jörg Wrase vor etwa 10 Jahren aktualisiert

  • Zielversion wurde von 2.1.3.0 beta1 zu 2.3.1.0 beta1 geändert

Vermutlich braucht nur dass in die htaccess eingetragen werden:


Header set X-Content-Type-Options: nosniff

Wurde aufgrund der umfangreicheren Testphase auf 2.2.0.0 verschoben.

Aktionen #5

Von Nonito Capuno vor etwa 10 Jahren aktualisiert

  • Status wurde von Gemeldet zu Anerkannt geändert
Aktionen #6

Von Moritz Bunjes vor etwa 10 Jahren aktualisiert

  • Zugewiesen an wurde von Jörg Wrase zu Roy Norbart geändert
Aktionen #7

Von Moritz Bunjes vor etwa 10 Jahren aktualisiert

  • Betroffene Versionen 2.1.3.2 wurde hinzugefügt
  • Betroffene Versionen Unbestimmt wurde gelöscht
Aktionen #8

Von Daniel Wu vor etwa 10 Jahren aktualisiert

  • Status wurde von Anerkannt zu Testing geändert
Aktionen #9

Von Roy Norbart vor etwa 10 Jahren aktualisiert

  • Zugewiesen an wurde von Roy Norbart zu Moritz Bunjes geändert

Bitte noch einmal ausführlich testen. Header-Rewrite ist in der Haupt-.htaccess eingetragen (inklusive Abfrage ob das Header-Modul vorhanden ist)

Aktionen #10

Von Moritz Bunjes vor etwa 10 Jahren aktualisiert

  • Status wurde von Testing zu Erledigt geändert
  • % erledigt wurde von 0 zu 100 geändert
Aktionen

Auch abrufbar als: Atom PDF