Tobias Scheible Cyber Security & IT-Forensik Dozent
Apache Webserver Konfiguration

Content-Type-Options – Webbrowser bändigen

Von welchem Typ eine Datei ist, kann per HTML definiert werden. Die Definition des Dateityps wird als MIME-Type bezeichnet. Ist diese nicht angegeben oder passt die Dateiendung nicht zu der Angabe, versucht der Webbrowser den Dateityp zu „erraten“. Dies kann bei einer falschen Interpretation zu Sicherheitsproblemen führen. Mit dem Header-Eintrag X-Content-Type-Options kann dies unterbunden werden.

Mittwoch, 22. Juli 2015
0 Kommentare
Web Development
Apache, htaccess, Header

Bei den sogenannten X-Header Einträgen handelt es sich um Anweisungen für Webbrowser, um bestimmte Funktionalitäten einzuschränken. Damit wird die Sicherheit einer Website erhöht. Der HTTP-Header X-Content-Type-Options ist ein Eintrag, der vom Server übermittelt wird und der den Webbrowser anweist, die in den Content-Type-Headern angegebene MIME-Typen nicht zu ändern. Dies ermöglicht es, das „Erraten“ (engl. sniff) vom MIME-Typ zu unterbinden. Als Parameter dafür wird nosniff verwendet.

Dieser Header wurde von Microsoft mit dem Internet Explorer 8 eingeführt, das „Erraten“ von Inhalten zu blockieren und nicht ausführbare MIME-Typen in ausführbare MIME-Typen umzuwandeln. Seitdem haben es andere Browser eingeführt, auch wenn ihre MIME-Sniffing-Algorithmen weniger aggressiv sind.

Mit dem folgenden Befehl in der .htaccess-Datei wird der Apache Webserver angewiesen, den Content-Type-Options Header an den Browser zu senden:

Header always append X-Content-Type-Options nosniff

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.