Firefox krijgt bescherming tegen MIME-aanvallen
Mozilla gaat Firefox beschermen tegen aanvallen waarbij bestanden worden gebruikt die in werkelijkheid een ander soort bestand zijn dan ze claimen te zijn. Door de inhoud van een bestand te scannen kunnen browsers het bestandsformaat vaststellen, ongeacht welk contenttype de webserver meegeeft.
Als Firefox een script van een webserver opvraagt en de server vervolgens een script terugstuurt maar stelt dat het om een afbeelding gaat, kan Firefox toch het oorspronkelijke formaat detecteren en het script uitvoeren. Deze techniek wordt MIME-sniffing genoemd. MIME staat voor Multipurpose Internet Mail Extensions en is een standaard voor het definiëren van contenttypes.
Hoewel deze functionaliteit handig is maakt het ook een aanval genaamd "MIME confusion" mogelijk. Neem als voorbeeld een webapplicatie waar gebruikers afbeeldingen kunnen uploaden, maar er niet wordt gecontroleerd of de gebruiker ook daadwerkelijk een echte afbeelding heeft geupload. Zodoende kan een aanvaller een afbeelding met kwaadaardige scriptcode uploaden.
Zodra de browser het bestand tegenkomt zal die de code uitvoeren, waardoor het risico op bijvoorbeeld cross-site scripting en andere aanvallen bestaat. Vanaf Firefox 50 gaat Mozilla daarom stylesheets, afbeeldingen en scripts weigeren als hun MIME-type niet overeenkomt met de context waarin het bestand is geladen. Hiervoor moet de server wel een aparte header meesturen, zo laat Mozilla's Christoph Kerschbaumer weten. Firefox 50 staat gepland voor 8 november van dit jaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.