Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.
Seiten: 1
#1 07. Januar 2018 13:57
- Andynium
- Moderator
- Ort: Dohna / SN / Deutschland
- Registriert: 13. September 2010
- Beiträge: 7.018
- Webseite
Meltdown & Spectre - was kann ich als Webseitenentwickler dagegen tun
Die Fachgazetten sind voll mit Nachrichten über die Prozessor-Bugs Meltdown und Spectre sowie deren Auswirkungen und mögliche Workarounds, weshalb ich es euch erspare, näher darauf einzugehen.
An der Stelle möchte ich mich im Context mit CMS/ms lediglich der Frage widmen, wie Webseitenbetreiber die Sicherheit ihrer Besucher erhöhen können.
Im Chromium-Blog finden sich dazu folgende Empfehlungen:
Wenn möglich, verhindern Sie, dass Cookies in den Speicher des Renderer-Prozesses gelangen, indem Sie die Cookie-Attribute SameSite und HTTPOnly verwenden und das Lesen von document.cookie vermeiden.
Stellen Sie sicher, dass Ihre MIME-Typen korrekt sind, und geben Sie einen Nosniff-Header für alle URLs mit benutzerspezifischen oder sensiblen Inhalten an, um das Beste aus der standortübergreifenden Blockierung von Dokumenten für Benutzer herauszuholen, die Site Isolation aktiviert haben.
Übersetzt mit www.DeepL.com/Translator
Offline
#2 07. Januar 2018 14:11
- Andynium
- Moderator
- Ort: Dohna / SN / Deutschland
- Registriert: 13. September 2010
- Beiträge: 7.018
- Webseite
Re: Meltdown & Spectre - was kann ich als Webseitenentwickler dagegen tun
geben Sie einen Nosniff-Header für alle URLs mit benutzerspezifischen oder sensiblen Inhalten an
Der Nosniff-Header lässt sich über einen Eintrag in der .htaccess aktivieren
<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
</IfModule>Offline
#3 07. Januar 2018 14:39
- Andynium
- Moderator
- Ort: Dohna / SN / Deutschland
- Registriert: 13. September 2010
- Beiträge: 7.018
- Webseite
Re: Meltdown & Spectre - was kann ich als Webseitenentwickler dagegen tun
Wenn möglich, verhindern Sie, dass Cookies in den Speicher des Renderer-Prozesses gelangen, indem Sie die Cookie-Attribute SameSite und HTTPOnly verwenden und das Lesen von document.cookie vermeiden.
Hierzu findet sich bereits ein erster Lösungsansatz in der mitgelieferten /doc/htaccess.txt. Es muss lediglich noch die Raute entfernt werden
php_value session.cookie_httponly trueJe nach Server-Einstellungen kann es auch sein, dass anstatt "true" eine "1" verwendet werden muss
php_value session.cookie_httponly 1Diese Einstellung verbietet den Zugriff auf Session Cookies via JavaScript. Damit können Cookies nicht mehr via JavaScript Injektion gestohlen werden.
http://php.net/manual/en/session.security.ini.php
Voraussetzung dafür ist natürlich, dass euer Hoster Änderungen an den PHP-Einstellungen zulässt. Im schlimmsten Fall kann die Folge ein 500er Status-Fehlermeldung des Servers sein.
Könnte mir da jedoch vorstellen, dass da jeder Hoster mit Hinweis auf die Dimension von Meltdown und Spectre tendenziell bereitwillig diese Voreinstellungen freigibt bzw. von sich aus ändert.
Offline
#4 07. Januar 2018 16:20
- Andynium
- Moderator
- Ort: Dohna / SN / Deutschland
- Registriert: 13. September 2010
- Beiträge: 7.018
- Webseite
Re: Meltdown & Spectre - was kann ich als Webseitenentwickler dagegen tun
Zum Cookie Attribut SameSite hab ich (noch) keine Möglichkeit via .htaccess gefunden. Hier müsste man folglich in den CMS/ms-Code eingreifen.
Das Attribut kann die Werte "lax" oder "strict" haben. Und kurioser Weise kann man für eine Domain beide Werte definieren.
An der Stelle wäre dann evtl. interessant, ein Projekt wie dieses in CMS/ms einzufügen.
Offline
Seiten: 1