Joomla 3.9.3 include alcuni aggiornamenti che alzano il livello di sicurezza del CMS, agendo  sui file .htaccess e web.config. Questi miglioramenti sono attivi sulle nuove installazioni,  sulle installazioni esistenti invece devo essere applicati manualmente.

I rafforzamenti della sicurezza nei file .htaccess e web.config di default disabilitano le funzionalità dei browser chiamate MIME-type sniffing, che consentono di ispezionare il contenuto dei file per dedurne il formato. Questa pratica di sniffing può portare ad attacchi, in cui script inseriti in formati di file apparentemente innocui (es. immagini) possono essere eseguiti, esponendo il sistema alla vulnerabilità Cross-Site-Scripting (XSS).

Modifiche al file .htaccess

Aggiungere le seguenti righe prima di ## Mod_rewrite in use:

<IfModule mod_headers.c>

Header always set X-Content-Type-Options "nosniff"

</IfModule>

Modifiche al file web.config

Aggiungere le seguenti righe subito dopo </rewrite>:

<httpProtocol>

  <customHeaders>

    <add name="X-Content-Type-Options" value="nosniff" />

   </customHeaders>

</httpProtocol>

 



Lunedì, Febbraio 18, 2019

« Indietro