J3.x

J3.x:Joomla 3.9.3 Note di Sicurezza

From Joomla! Documentation

This page is a translated version of the page J3.x:Joomla 3.9.3 Security Notes and the translation is 77% complete.

Other languages:
Deutsch • ‎Ελληνικά • ‎English • ‎français • ‎italiano • ‎Nederlands • ‎svenska

.htaccess and web.config Aggiornamento della sicurezza

A partire da Joomla 3.9.3, Joomla viene fornito con ulteriori elementi di sicurezza nei file predefinitihtaccess.txt e web.config.txt. Questi hardenings disabilitano la cosiddetta funzione di sniffing di tipo MIME nei browser web. Lo sniffing porta a specifici vettori di attacco, dove verranno eseguiti script in formati di file normalmente innocui (cioè immagini), che portano a vulnerabilità di Cross-Site-Scripting. Il team Joomla Security Strike consiglia di applicare manualmente le modifiche necessarie ai file .htaccess or web.config esistenti, poiché tali file non possono essere aggiornati automaticamente.

Modifiche per .htaccess

'For Apache Web Servers' Aggiungi le seguenti linee prima di ## Mod_rewrite in use:

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Modifiche per web.config

For Microsoft IIS Web Server Aggiungi le seguenti righe subito dopo </rewrite>:

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>

Modifiche per Nginx

For Nginx Web Server Nel caso in cui si utilizzi il server Web Nginx, aggiungere il seguente parametro sotto il blocco del server nella configurazione di Nginx /etc/nginx/nginx.conf:

http {
  add_header X-Content-Type-Options nosniff;
}