Questa guida spiega come proteggere il tuo sito web e i suoi visitatori dallo sfruttamento dannoso del MIME-Type sniffing.

Premessa

• Il MIME-Type sniffing, o rilevamento del tipo MIME, è una tecnica utilizzata dai browser web per determinare il tipo di contenuto di una risorsa quando il tipo MIME fornito dal server è ambiguo, mancante o errato.
• Sebbene ciò possa talvolta migliorare l'esperienza utente rendendo il contenuto accessibile nonostante errori di configurazione del server, questa funzionalità introduce anche vulnerabilità di sicurezza importanti:
  • Quando un browser esegue il MIME-Type sniffing, può interpretare un file di testo come uno script eseguibile, aprendo così la porta ad attacchi di cross-site scripting (XSS).
  • Ad esempio, un file destinato ad essere elaborato come testo grezzo potrebbe essere interpretato come JavaScript, permettendo a un attaccante di eseguire codice dannoso sul browser dell'utente.
• Disattivando il MIME-Type sniffing, proteggi i visitatori dall'esecuzione non autorizzata di script dannosi e rafforzi anche la sicurezza complessiva del tuo sito web riducendo i potenziali vettori di attacco.

Disattivare il MIME-Type sniffing

Per proteggere gli utenti e le applicazioni web da questo tipo di vulnerabilità, è possibile disattivare il rilevamento automatico del tipo di risorsa tramite il file .htaccess dei tuoi siti per indicare al browser di fare affidamento esclusivamente sul tipo MIME specificato dal server senza tentare di indovinarlo.

Inserendo il codice seguente nel tuo file .htaccess, assicurati che il MIME-Type sniffing sia disattivato purché il modulo mod_headers (che consente di aggiungere l'intestazione seguente) sia attivato sul tuo server Apache:

1. Apre il file .htaccess del sito interessato tramite FTP Manager o un software/client FTP.

2. Aggiungi il seguente codice:

   <IfModule mod_headers.c>
       Header always set X-Content-Type-Options "nosniff"
   </IfModule>

3. Salva il file .htaccess.