Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 07. Januar 2018 13:57

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.864
Webseite

Meltdown & Spectre - was kann ich als Webseitenentwickler dagegen tun

Die Fachgazetten sind voll mit Nachrichten über die Prozessor-Bugs Meltdown und Spectre sowie deren Auswirkungen und mögliche Workarounds, weshalb ich es euch erspare, näher darauf einzugehen.

An der Stelle möchte ich mich im Context mit CMS/ms lediglich der Frage widmen, wie Webseitenbetreiber die Sicherheit ihrer Besucher erhöhen können.

Im Chromium-Blog finden sich dazu folgende Empfehlungen:

Wenn möglich, verhindern Sie, dass Cookies in den Speicher des Renderer-Prozesses gelangen, indem Sie die Cookie-Attribute SameSite und HTTPOnly verwenden und das Lesen von document.cookie vermeiden.

Stellen Sie sicher, dass Ihre MIME-Typen korrekt sind, und geben Sie einen Nosniff-Header für alle URLs mit benutzerspezifischen oder sensiblen Inhalten an, um das Beste aus der standortübergreifenden Blockierung von Dokumenten für Benutzer herauszuholen, die Site Isolation aktiviert haben.

Übersetzt mit www.DeepL.com/Translator

https://www.chromium.org/Home/chromium-security/ssca


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#2 07. Januar 2018 14:11

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.864
Webseite

Re: Meltdown & Spectre - was kann ich als Webseitenentwickler dagegen tun

geben Sie einen Nosniff-Header für alle URLs mit benutzerspezifischen oder sensiblen Inhalten an

Der Nosniff-Header lässt sich über einen Eintrag in der .htaccess aktivieren

<IfModule mod_headers.c>
  Header set X-Content-Type-Options nosniff
</IfModule>

1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#3 07. Januar 2018 14:39

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.864
Webseite

Re: Meltdown & Spectre - was kann ich als Webseitenentwickler dagegen tun

Wenn möglich, verhindern Sie, dass Cookies in den Speicher des Renderer-Prozesses gelangen, indem Sie die Cookie-Attribute SameSite und HTTPOnly verwenden und das Lesen von document.cookie vermeiden.

Hierzu findet sich bereits ein erster Lösungsansatz in der mitgelieferten /doc/htaccess.txt. Es muss lediglich noch die Raute entfernt werden

php_value session.cookie_httponly true

Je nach Server-Einstellungen kann es auch sein, dass anstatt "true" eine "1" verwendet werden muss

php_value session.cookie_httponly 1

Diese Einstellung verbietet den Zugriff auf Session Cookies via JavaScript. Damit können Cookies nicht mehr via JavaScript Injektion gestohlen werden.

http://php.net/manual/en/session.security.ini.php

Voraussetzung dafür ist natürlich, dass euer Hoster Änderungen an den PHP-Einstellungen zulässt. Im schlimmsten Fall kann die Folge ein 500er Status-Fehlermeldung des Servers sein.

Könnte mir da jedoch vorstellen, dass da jeder Hoster mit Hinweis auf die Dimension von Meltdown und Spectre tendenziell bereitwillig diese Voreinstellungen freigibt bzw. von sich aus ändert.


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#4 07. Januar 2018 16:20

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.864
Webseite

Re: Meltdown & Spectre - was kann ich als Webseitenentwickler dagegen tun

Zum Cookie Attribut SameSite hab ich (noch) keine Möglichkeit via .htaccess gefunden. Hier müsste man folglich in den CMS/ms-Code eingreifen.

Das Attribut kann die Werte "lax" oder "strict" haben. Und kurioser Weise kann man für eine Domain beide Werte definieren.

An der Stelle wäre dann evtl. interessant, ein Projekt wie dieses in CMS/ms einzufügen.


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline