• IT-Karriere:
  • Services:

Content-Sniffing abschalten ist generell empfehlenswert

Der Header X-Content-Type-Options: nosniff deaktiviert in Browsern das Content-Sniffing. Das verhindert manche Formen von Cross-Site-Scripting-Angriffen, es verbessert aber auch die Seitenisolierung.

Stellenmarkt
  1. Palmer AG, Würzburg, Leipzig (Home-Office möglich)
  2. Vereinigte Hagelversicherung VVaG., Gießen

Aus historischen Gründen ignorieren Browser manchmal den Inhaltstyp im Header Content-Type einer HTTP-Ressource. Beispielsweise werden Javascript- oder CSS-Dateien, die mit dem Typ text/plain ausgeliefert werden, akzeptiert. Der Browser versucht, den Dateityp anhand ihres Inhaltes zu erraten. Setzt man den nosniff-Header, dann wird derartiges Akzeptieren von falschen Dateitypen unterbunden.

Diesen Header gab es schon lange, bevor Spectre-Angriffe bekanntwurden, er bietet aber auch hier einen zusätzlichen Schutz. Google hat in der Chrome-Architektur ein Konzept eingeführt, das sich Cross-Origin Resource Blocking (CORB) nennt. Firefox arbeitet an einer Variante, die dort als CORB++ bezeichnet wird.

Ladevorgänge frühzeitig blockieren

Die Idee dabei: Wenn eine Webseite versucht, fehlerhaft Inhalte einer anderen Seite einzubinden, wird dies blockiert, bevor der Inhalt überhaupt im Renderprozess einer Seite landet. Beispielsweise könnte eine Webseite versuchen, den HTML-Inhalt einer anderen Seite als CSS-Datei einzubinden. Das würde beim Parsen Fehler verursachen, doch der Inhalt der HTML-Datei wäre im Speicherbereich der fremden Webseite und könnte durch Spectre auslesbar sein.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. OpenShift Installation & Administration
    14.-16. Juni 2021, online
Weitere IT-Trainings

Um das zu verhindern, sollen derartige Ladevorgänge bereits blockiert werden, bevor sie im Renderprozess einer Webseite ankommen. Wenn der Nosniff-Header gesetzt ist, kann der Browser bereits beim Prüfen des Inhaltstyps das Laden verwerfen. Ansonsten muss der Browser den Inhalt anschauen und entscheiden, ob es sich um einen validen Ladevorgang handelt. Der Nosniff-Header sorgt dafür, dass der Browser einen Ladevorgang mit fehlerhaften Inhaltstypen sofort abbrechen kann.

Den Nosniff-Header zu setzen, ist praktisch immer die richtige Wahl. Die einzig mögliche negative Auswirkung ist, dass Inhalte mit einem falschen Content-Type nicht mehr geladen werden können. In dem Fall sollte man den Webserver so konfigurieren, dass er Dateien mit dem korrekten Content-Type ausliefert.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Frames und Iframes

Eine weitere Möglichkeit, mit der Webseiten miteinander interagieren, sind Frames und Iframes. Diese haben schon zu anderen Angriffsformen geführt, die bekannteste ist das Clickjacking. Mit dem Header X-Frame-Options kann eine Webseite unterbinden, dass sie von anderen Seiten in einem Frame geladen wird. Dieser Header kann entweder den Wert deny (Laden in Frames generell untersagt) oder sameorigin (Laden nur von derselben Origin erlaubt) haben.

Alternativ gibt es die Möglichkeit, ein ähnliches Verhalten über die Direktive frame-ancestors mittels des Content-Security-Poliy-Headers zu erreichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Nur explizit erlaubte Inhalte mit COEPIsolierung für manche Javascript-Features nötig 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. (u. a. LG OLED55CX9LA 120Hz für 1.359€, Samsung Galaxy A51 128GB für 245€)
  2. gratis
  3. 383€

schnedan 01. Apr 2021 / Themenstart

"Neuerdings werden ja sogar Spiele gestreamt" Jo, im schlimmsten Fall geht das dann halt...

negiup 01. Apr 2021 / Themenstart

Teil der Übergangslösung ist das beschriebene Abschalten des SharedArrayBuffers und...

negiup 01. Apr 2021 / Themenstart

Danke für den verständlichen Artikel! Für das Grundverständnis ist der sehr hilfreich...

heutger 31. Mär 2021 / Themenstart

Ich verstehe nicht, wieso man nicht so etwas in den bestehenden mächtigen CSP Header...

Kommentieren


Folgen Sie uns
       


Mafia (2002) - Golem retro_

Wer in der Mafia hoch hinaus will, muss loyal sein - ansonsten verstößt ihn die Familie. In Golem retro_ haben wir das erneut selbst erlebt.

Mafia (2002) - Golem retro_ Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /