Questa guida spiega come proteggere il tuo sito web e i suoi visitatori dallo sfruttamento malizioso del MIME-Type sniffing.

Premessa

• Il MIME-Type sniffing, o rilevamento del tipo MIME, è una tecnica utilizzata dai browser web per determinare il tipo di contenuto di una risorsa quando il tipo MIME fornito dal server è ambiguo, mancante o errato.
• Sebbene ciò possa talvolta migliorare l'esperienza utente rendendo il contenuto accessibile nonostante gli errori di configurazione del server, questa funzionalità introduce anche vulnerabilità di sicurezza significative:
  • Quando un browser effettua il MIME-Type sniffing, può interpretare un file di testo come uno script eseguibile, aprendo così la porta ad attacchi di cross-site scripting (XSS); ad esempio, un file destinato ad essere trattato come testo semplice potrebbe essere interpretato come JavaScript, permettendo ad un attaccante di eseguire codice malizioso sul browser dell'utente.
• Disattivando il MIME-Type sniffing, proteggi i visitatori dall'esecuzione non autorizzata di script dannosi e rafforzi anche la sicurezza generale del tuo sito web riducendo i potenziali vettori di attacco.

Disattivare il MIME-Type sniffing

Per proteggere gli utenti e le applicazioni Web da questo tipo di vulnerabilità, è possibile disattivare il rilevamento automatico del tipo di risorsa tramite il file .htaccess dei tuoi siti per indicare al browser di fare affidamento strettamente sul tipo MIME specificato dal server senza cercare di indovinarlo.

Inserendo il codice riportato di seguito nel file .htaccess, si assicura che il MIME-Type sniffing sia disattivato purché il modulo mod_headers (che consente di aggiungere l'intestazione riportata di seguito) sia attivato sul server Apache:

1. Apri il file .htaccess del sito interessato tramite FTP Manager o un software/client FTP.

2. Aggiungi il seguente codice:

   <IfModule mod_headers.c>
       Header always set X-Content-Type-Options "nosniff"
   </IfModule>

3. Salva il file .htaccess.