Projekt

Allgemein


Benutzerdefinierte Abfragen
Kategorien
Aktionen
Link kopieren

GX-Bug #40611

geschlossen

IE Content "Sniffing" abschalten

Von Roy Norbart vor mehr als 10 Jahren hinzugefügt. Vor mehr als 10 Jahren aktualisiert.

Status:
Erledigt
Priorität:
Normal
Zugewiesen an:
Moritz Bunjes
Kategorie:
Security
Zielversion:
2.3.1.0 beta1
% erledigt:

100%

Geschätzter Aufwand:
Steps to reproduce:
Betroffene Versionen:
2.1.3.2
Release Notes Langtext:

Beschreibung

Der IE hat die Eigenheit Media-Informationen bei Problemen selbst zu ermitteln. Dies führt dazu, das z.B. manipulierte Bilddateien HTML / JS enthalten können.
Weitere Informationen unter:

https://blog.42.nl/articles/securing-web-applications-using-owasp-zap-passive-mode/ im Abschnitt: X-Content-Type-Options header missing (Low Risk)
http://www.h-online.com/security/features/Risky-MIME-sniffing-in-Internet-Explorer-746229.html

Checkliste 0/0

Aktionen
Link kopieren
 #4

Von Jörg Wrase vor mehr als 10 Jahren aktualisiert

  • Zielversion wurde von 2.1.3.0 beta1 zu 2.3.1.0 beta1 geändert

Vermutlich braucht nur dass in die htaccess eingetragen werden:


Header set X-Content-Type-Options: nosniff

Wurde aufgrund der umfangreicheren Testphase auf 2.2.0.0 verschoben.

Aktionen
Link kopieren
 #9

Von Roy Norbart vor mehr als 10 Jahren aktualisiert

  • Zugewiesen an wurde von Roy Norbart zu Moritz Bunjes geändert

Bitte noch einmal ausführlich testen. Header-Rewrite ist in der Haupt-.htaccess eingetragen (inklusive Abfrage ob das Header-Modul vorhanden ist)

Aktionen
Link kopieren