» Neue Sicherheitsregeln für den Browser

mgutt · 14.03.2017, 16:31

Wir setzen nun die folgenden beiden Header auf allen unseren Seiten:

X-Content-Type-Options nosniff

Dieser verbietet dem Browser z.B. eine HTML-Seite als was anderes zu verarbeiten. Z.B. können Browser an Hand des Dateiinhalts erkennen, dass Javascript drin steht und führen es dann nicht als HTML aus, sondern als Javascript, obwohl die Datei "seite.html" heißt. Genau das schalten wir damit aber ab. Das verhindert einen Angriff durch Dateiuploads, die gar nicht die Daten enthalten auf die die Dateiendung hinweist.

X-Frame-Options DENY

Dieser verbietet die Ausführung der Seite innerhalb eines Frames z.B.

<iframe>

.

Die meisten Browser respektieren diese Regeln. Sollte es zu Problemen deswegen kommen, dann bitte melden.

maxrev.de · Gast

Mach mit!

Wenn Dir die Beiträge zum Thread "Neue Sicherheitsregeln für den Browser" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:

Registrierte Mitglieder genießen die folgenden Vorteile:
✔ kostenlose Mitgliedschaft
✔ keine Werbung
✔ direkter Austausch mit Gleichgesinnten
✔ neue Fragen stellen oder Diskussionen starten
✔ schnelle Hilfe bei Problemen
✔ Bilder und Videos hochladen
✔ und vieles mehr...

Autor	Nachricht
mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52423 Wohnort: Lohmar Meine eBay-Auktionen:	14.03.2017, 16:31 zitieren Wir setzen nun die folgenden beiden Header auf allen unseren Seiten: `X-Content-Type-Options nosniff` Dieser verbietet dem Browser z.B. eine HTML-Seite als was anderes zu verarbeiten. Z.B. können Browser an Hand des Dateiinhalts erkennen, dass Javascript drin steht und führen es dann nicht als HTML aus, sondern als Javascript, obwohl die Datei "seite.html" heißt. Genau das schalten wir damit aber ab. Das verhindert einen Angriff durch Dateiuploads, die gar nicht die Daten enthalten auf die die Dateiendung hinweist. `X-Frame-Options DENY` Dieser verbietet die Ausführung der Seite innerhalb eines Frames z.B. `<iframe>` . Die meisten Browser respektieren diese Regeln. Sollte es zu Problemen deswegen kommen, dann bitte melden. 2017-03-14 23_46_26-Neue Sicherheitsregeln für den Browser - Forum_ Ankündigungen.png - Angeschaut: 236 mal 2017-03-15 00_06_31-MobileTest.me - Test your mobile sites and responsive web designs with the Apple.png - [Bild vergrößern] Gefällt mir Teilen twittern 5x bearbeitet Verfasst am: 14.03.2017, 23:09 zitieren Ich musste die Frame-Regel wie folgt anpassen, da wir beim Antworten unten eine Vorschau haben, die ebenfalls in einem iframe angezeigt wird: `X-Frame-Options SAMEORIGIN` SAMEORIGIN erlaubt nun Frames, aber nur wenn sich alles auf der gleichen Website abspielt. Fremde Websites bleiben nach wie vor verboten. 2017-03-15 00_04_30-Antwort schreiben - Honda Forum & Tuning.png - [Bild vergrößern] 1x bearbeitet Verfasst am: 15.03.2017, 00:59 zitieren Und jetzt der dritte neue Header: `Content-Security-Policy:default-src 'none'; script-src 'self' 'unsafe-inline'; connect-src 'self'; child-src 'self' https://www.youtube.com; img-src * data:; style-src 'self' 'unsafe-inline';` Dieser reglementiert noch mal deutlich mehr: Javascript darf nur lokal geladen und im HTML Quelltext ausgeführt werden AJAX darf nur lokal geladen werden iframes dürfen nur lokal geladen werden oder von https://www.youtube.com/ (Videoplayer in Beiträgen) Bilder dürfen von überall geladen werden Styles dürfen nur lokal geladen und im HTML Quelltext ausgeführt werden Da das eine Whitelist ist, kann das durchaus zu Fehlern führen. Daher bitte melden, wenn irgendwas plötzlich nicht mehr geht. Hier gibt es in jedem Fall noch Optimierungsbedarf was die Sicherheit anbelangt: alle Bilder in Beiträgen sollten lokal gehostet werden (was dann auch verhindert, dass Bilder offline gehen) Javascript und Styles im HTML Quelltext sollten weg und in Dateien ausgelagert werden. Nur so kann man einen ordentlichen Schutz vor XSS Attacken gewährleisten 2017-03-15 02_02_03-Neue Sicherheitsregeln für den Browser - Forum_ Ankündigungen.png - [Bild vergrößern] 2x bearbeitet Verfasst am: 16.03.2017, 00:40 zitieren mgutt `X-Frame-Options SAMEORIGIN` Diese Option habe ich wieder entfernt, weil sie bereits von der Content-Security-Policy abgedeckt wird. Zwar fällt damit der Internet Explorer 9 raus, aber nur wegen dem muss ich nicht die Header global aufblähen, da ich als Admin das Hauptangriffsziel bin und ich nutze immer die aktuellsten Browser und IE sowieso schon gar nicht. CSP Browser Compatibility 2017-03-16 01_36_20-Content-Security-Policy - HTTP _ MDN.png - [Bild vergrößern] X-Frame Options Browser Compatibility 2017-03-16 01_37_07-X-Frame-Options - HTTP _ MDN.png - [Bild vergrößern] Verfasst am: 22.03.2017, 07:43 zitieren Und erneut alles gedreht: Mit `Content-Security-Policy` war es leider nicht möglich weiterhin zuverlässig Werbung auf der Seite darzustellen, da die Werbeagenturen die Werbung manchmal direkt beim Kunden hosten. D.h. woher nun die Inhalte geladen werden, ist nicht immer 100%-ig absehbar. Außerdem können die Werbeagenturen ja jederzeit ihre Domains oder Subdomains ändern und man müsste immer wieder die Liste der Domains anpassen. Ist also leider nicht dauerhaft haltbar. Ich habe daher CSP wieder ausgebaut und dafür `X-Frame-Options` wieder aktiviert. Allerdings haben wir nun noch ein neues kleines Sicherheitsplus. Und zwar werden unsere Cookies ab sofort mit dem Status `httponly` an den Browser gesendet. Dieser Status sagt dem Browser, dass diese Cookies nicht per Javascript ausgelesen werden können. Falls also bei uns mal eine XSS Lücke besteht und jemand Javascript einschleust, so kann er auf diesem Weg keine Cookies stehlen (um sich z.B. als Admin/Moderator einzuloggen). Diese Information übermittelt der Server wie folgt an den Browser: 2017-03-22 08_37_31-Anmelden - Honda Forum & Tuning.png - [Bild vergrößern] 2x bearbeitet
▲	pn email

maxrev.de Gast	22.03.2017, 07:43 zitieren Mach mit! Wenn Dir die Beiträge zum Thread "Neue Sicherheitsregeln für den Browser" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden: Registrierte Mitglieder genießen die folgenden Vorteile: ✔ kostenlose Mitgliedschaft ✔ keine Werbung ✔ direkter Austausch mit Gleichgesinnten ✔ neue Fragen stellen oder Diskussionen starten ✔ schnelle Hilfe bei Problemen ✔ Bilder und Videos hochladen ✔ und vieles mehr...
▲

	Re: √	Letzter Beitrag
Browser-Caching geändert Seit ein paar Tagen fällt mir in Google Chrome 56 auf, dass ein Thread nach Absenden eines neuen Beitrags, diesen dann nicht anzeigt. Also der Browser liefert dann einfach nur den Cache des Threads aus und damit keinen neuen Beitrag. Ich habe daher... [Ankündigungen]von mgutt	0 188	25.02.2017, 17:15 mgutt
css in jedem Browser anders Warum sieht css in jedem Browser ein bißchen anders aus, teilweise sogar völlig anders (Opera)? Wie kann man das umgehen? Wenn ich z.B. eine Linie, die unter den Headermenüpunkten ist, für Firefox anpasse, stimmt sie in Chrome und Opera nicht mehr und... von moosmutzel	3 110	26.02.2015, 12:58 mgutt
the-pimps Browser Game Moin , jemand von euch bei the-pimps angemeldet ? Isn ganz lustiges Browsergame mit Hookern , Drogenhandel etc. Ganz cool gemacht ^_^ Man könnt mal sowas wie n maxrev-syndicat gründen... Seite 2, 3, 4, 5, 6, 7 [Computer & Spiele]von wrath`-	67 3.688	06.07.2007, 13:02 Fuchs
Trafic Cross Browser() Hallo hat jemand Erfahrung mit Routerzugriffen oder mit Browserprogramierung? Ich möchte ein Browser Entwikeln bei dem es Hauptsächlich darum geht das man Webseiten zu Seinen Kreisen Hinzufügen kann Suchkriterien Verwalten und Enge Kontakte... von Dr:Kurz	0 139	24.08.2016, 05:17 Dr:Kurz
Suche Programmierer für Browser-RPG Vielen Dank für das Interesse, Ich selbst bin leider keine Expertin im programmieren und benötige deshalb unbedingt Hilfe. Ich werde also mit einem Interessenten nur über meine Vorstellungen der zu erschaffenden Internetseite sprechen, wirklich... von Shine	0 440	29.04.2011, 01:38 Shine
Browser Game mit Hondas kennt ihr das browsergame... Seite 2 [Allgemein]von EG4 Fahrer	16 1.223	03.01.2008, 18:34 Electric
Autoradio it gutem Usb Browser Hallo erstmal ans Forum , ich bin auf der suche nach einem Autoradio mit usb und aux in der die Unterordner mit Namen anzeigt und davon auch jede Menge verarbeiten kann . Wäre nicht schlecht wenn es was bis 120 Euro geben würde , hab schon bei... von maxatmax	4 830	10.06.2011, 15:18 Ralf
Browser: Firefox 57 - ist zurück Firefox ist zurück - bei mir war er nie weg. :-) Aber ich muss euch berichten das er deutlich schneller und stabiler ist. Inhaltich: Größeres Update, das eine erneuerte Browser-Engine namens Quantum und die neue Benutzeroberfläche Photon einführt,... [Computer & Spiele]von EarL_VTEC	4 326	19.11.2017, 21:14 EarL_VTEC
suche anderen browser für lg bl40 wie oben beschrieben, der der aktuell auf dem ding ist, ist ne richtige wurst.. lahm wie sau und produziert fehler ohne ende.. bsp. maxrev, ich kann mich zwar anmelden jedoch bin ich nach dem anmelden nicht angemeldet, quasi immernoch gast.. bsp.²... [Handy]von Frauenautofahrer	0 340	31.03.2011, 21:50 Frauenautofahrer
Browser soll bestimmte Netzwerkverbindung nutzen Wenn ich mit LAN und WLAN verbunden bin und eine der beiden Leitungen ist offline, dann kann es per Zufall sein, dass keine Internetseite lädt. Jetzt wäre es praktisch, wenn ich dem Browser sagen könnte, welche Leitung er nutzen soll. Dann spare ich mir... [Computer & Spiele]von mgutt	8 1.721	18.07.2014, 09:43 mgutt