J3.x

Joomla 3.9.3 Note di Sicurezza

From Joomla! Documentation

This page is a translated version of the page J3.x:Joomla 3.9.3 Security Notes and the translation is 100% complete.

Other languages:
Deutsch • ‎Ελληνικά • ‎English • ‎français • ‎italiano • ‎Nederlands • ‎svenska

.htaccess and web.config Aggiornamento della sicurezza

A partire da Joomla 3.9.3, Joomla viene fornito con ulteriori elementi di sicurezza nei file predefinitihtaccess.txt e web.config.txt. Questi hardenings disabilitano la cosiddetta funzione di sniffing di tipo MIME nei browser web. Lo sniffing porta a specifici vettori di attacco, dove verranno eseguiti script in formati di file normalmente innocui (cioè immagini), che portano a vulnerabilità di Cross-Site-Scripting. Il team Joomla Security Strike consiglia di applicare manualmente le modifiche necessarie ai file .htaccess or web.config esistenti, poiché tali file non possono essere aggiornati automaticamente.

Modifiche per .htaccess

'Per i server Web Apache' Aggiungi le seguenti linee prima di ## Mod_rewrite in use:

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Modifiche per web.config

Per Microsoft IIS Web Server Aggiungi le seguenti righe subito dopo </rewrite>:

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>

Modifiche per Nginx

Per il server Web Nginx Nel caso in cui si utilizzi il server Web Nginx, aggiungere il seguente parametro sotto il blocco del server nella configurazione di Nginx /etc/nginx/nginx.conf:

http {
  add_header X-Content-Type-Options nosniff;
}