Content-Sniffing abschalten ist generell empfehlenswert

Der Header X-Content-Type-Options: nosniff deaktiviert in Browsern das Content-Sniffing. Das verhindert manche Formen von Cross-Site-Scripting-Angriffen, es verbessert aber auch die Seitenisolierung.

Stellenmarkt
  1. Fachinformatiker Systemintegration Bildungs-IT (m/w/d)
    Stadt Villingen-Schwenningen, Villingen-Schwenningen
  2. ERP-Administrator (m/w/d)
    C.Ed. Schulte GmbH Zylinderschlossfabrik, Velbert
Detailsuche

Aus historischen Gründen ignorieren Browser manchmal den Inhaltstyp im Header Content-Type einer HTTP-Ressource. Beispielsweise werden Javascript- oder CSS-Dateien, die mit dem Typ text/plain ausgeliefert werden, akzeptiert. Der Browser versucht, den Dateityp anhand ihres Inhaltes zu erraten. Setzt man den nosniff-Header, dann wird derartiges Akzeptieren von falschen Dateitypen unterbunden.

Diesen Header gab es schon lange, bevor Spectre-Angriffe bekanntwurden, er bietet aber auch hier einen zusätzlichen Schutz. Google hat in der Chrome-Architektur ein Konzept eingeführt, das sich Cross-Origin Resource Blocking (CORB) nennt. Firefox arbeitet an einer Variante, die dort als CORB++ bezeichnet wird.

Ladevorgänge frühzeitig blockieren

Die Idee dabei: Wenn eine Webseite versucht, fehlerhaft Inhalte einer anderen Seite einzubinden, wird dies blockiert, bevor der Inhalt überhaupt im Renderprozess einer Seite landet. Beispielsweise könnte eine Webseite versuchen, den HTML-Inhalt einer anderen Seite als CSS-Datei einzubinden. Das würde beim Parsen Fehler verursachen, doch der Inhalt der HTML-Datei wäre im Speicherbereich der fremden Webseite und könnte durch Spectre auslesbar sein.

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    13.–17. Dezember 2021, virtuell
Weitere IT-Trainings

Um das zu verhindern, sollen derartige Ladevorgänge bereits blockiert werden, bevor sie im Renderprozess einer Webseite ankommen. Wenn der Nosniff-Header gesetzt ist, kann der Browser bereits beim Prüfen des Inhaltstyps das Laden verwerfen. Ansonsten muss der Browser den Inhalt anschauen und entscheiden, ob es sich um einen validen Ladevorgang handelt. Der Nosniff-Header sorgt dafür, dass der Browser einen Ladevorgang mit fehlerhaften Inhaltstypen sofort abbrechen kann.

Den Nosniff-Header zu setzen, ist praktisch immer die richtige Wahl. Die einzig mögliche negative Auswirkung ist, dass Inhalte mit einem falschen Content-Type nicht mehr geladen werden können. In dem Fall sollte man den Webserver so konfigurieren, dass er Dateien mit dem korrekten Content-Type ausliefert.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Frames und Iframes

Eine weitere Möglichkeit, mit der Webseiten miteinander interagieren, sind Frames und Iframes. Diese haben schon zu anderen Angriffsformen geführt, die bekannteste ist das Clickjacking. Mit dem Header X-Frame-Options kann eine Webseite unterbinden, dass sie von anderen Seiten in einem Frame geladen wird. Dieser Header kann entweder den Wert deny (Laden in Frames generell untersagt) oder sameorigin (Laden nur von derselben Origin erlaubt) haben.

Alternativ gibt es die Möglichkeit, ein ähnliches Verhalten über die Direktive frame-ancestors mittels des Content-Security-Poliy-Headers zu erreichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Nur explizit erlaubte Inhalte mit COEPIsolierung für manche Javascript-Features nötig 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


schnedan 01. Apr 2021

"Neuerdings werden ja sogar Spiele gestreamt" Jo, im schlimmsten Fall geht das dann halt...

negiup 01. Apr 2021

Teil der Übergangslösung ist das beschriebene Abschalten des SharedArrayBuffers und...

negiup 01. Apr 2021

Danke für den verständlichen Artikel! Für das Grundverständnis ist der sehr hilfreich...

heutger 31. Mär 2021

Ich verstehe nicht, wieso man nicht so etwas in den bestehenden mächtigen CSP Header...



Aktuell auf der Startseite von Golem.de
Feldversuch E-Mobility-Chaussee
So schnell bringen E-Autos das Stromnetz ans Limit

Das Laden von Elektroautos stellt Netzbetreiber auf dem Land vor besondere Herausforderungen. Ein Pilotprojekt hat verschiedene Lösungen getestet.
Ein Bericht von Friedhelm Greis

Feldversuch E-Mobility-Chaussee: So schnell bringen E-Autos das Stromnetz ans Limit
Artikel
  1. Encrochat-Hack: Damit würde man keinen Geschwindigkeitsverstoß verurteilen
    Encrochat-Hack
    "Damit würde man keinen Geschwindigkeitsverstoß verurteilen"

    Der Anwalt Johannes Eisenberg hat sich die Daten aus dem Encrochat-Hack genauer angesehen und viel Merkwürdiges entdeckt.
    Ein Interview von Moritz Tremmel

  2. Geforce Now (RTX 3080) im Test: 1440p120 mit Raytracing aus der Cloud
    Geforce Now (RTX 3080) im Test
    1440p120 mit Raytracing aus der Cloud

    Höhere Auflösung, mehr Bilder pro Sekunde, kürzere Latenzen: Geforce Now mit virtueller Geforce RTX 3080 ist Cloud-Gaming par excellence.
    Ein Test von Marc Sauter

  3. SpaceX: Starlink testet Satelliteninternet in Flugzeugen
    SpaceX
    Starlink testet Satelliteninternet in Flugzeugen

    Bald dürften mehrere Flugesellschaften Starlink-Service anbieten. Laut einem Manager soll es so schnell wie möglich gehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" 32:9 Curved QLED 240Hz 1.149€) • Spiele günstiger: PC, PS5, Xbox, Switch • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Cambridge Audio Melomonia Touch 89,95€ • Gaming-Stühle zu Bestpreisen [Werbung]
    •  /