In questo documento viene descritta la posizione di supporto dell'ingegneria di sostegno, relativamente a un'applicazione McAfee.
McAfee risposta alle intestazioni di sicurezza HTTP mancanti e CWE-693:
Errore del meccanismo di protezione
Panoramica
Questo documento risolve le preoccupazioni relative alle intestazioni di sicurezza HTTP mancanti segnalate dagli scanner di vulnerabilità su ePO. Per ulteriori informazioni, consultare lo stato di protezione:
Descrizione
Alcuni scanner di vulnerabilità potrebbero contrassegnare la porta HTTP 8443 e la porta 8444 con la seguente vulnerabilità:
CWE-693-errore del meccanismo di protezione
QID 11827-intestazione di sicurezza HTTP non rilevata
PluginID 84502-HSTS mancante dal server HTTPS
Le seguenti intestazioni fanno parte di questa vulnerabilità:
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Content-Security-Policy
- Strict-Transport-Security
Ricerca e conclusioni
L'Engineering ha studiato questa ricerca e ha concluso che ePO è
non vulnerabili.
- X-Frame-Options: ePO aggiunge X-Frame-Options uses SAMEORIGIN in tutte le pagine Web che vengono servite e ePO è protetto da clickjacking attacchi.
- X-XSS-Protection: L'iniezione e il rendering XSS vengono mitigati in più livelli in ePO. I dati non affidabili o forniti dall'utente vengono memorizzati correttamente (se necessario) e sottoposti a escape (codificati) durante il rendering per impedire gli attacchi XSS. ePO si occupa della prevenzione degli XSS senza l'utilizzo di X-XSS-Protection intestazione.
- X-Content-Type-Options: La maggior parte dei contenuti ePO ha un tipo di contenuto preciso. Tutti i contenuti che non dispongono di contenuto sono di tipo statico, gestiti da ePO/MFS. Il contenuto caricato dall'utente ha il tipo di contenuto appropriato per evitare che MIMIe-sniffing. Inoltre, Chrome e Internet Explorer erano inclini a MIME sniffing, ma con la versione più recente di Chrome e Internet Explorer, MIME Sniff non è possibile.
- Content-Security-Policy: ePO non serve alcun file HTML che utilizza script caricati da origini esterne, quindi la mancanza di questa intestazione non ha alcun effetto sul contenuto che viene servito.
- Strict-Transport-Security: La console ePO viene servita in HTTPS e non è presente alcun tunneling per HTTP o HTTPS. Pertanto, la mancanza di questa intestazione non ha alcun effetto sui contenuti serviti.
Disclaimer
Le prossime date di versione prodotto menzionate nella presente dichiarazione hanno lo scopo di delineare la nostra direzione generale del prodotto. Non devono essere invocati nel prendere una decisione di acquisto:
- Le date di versione prodotto sono solo a scopo informativo e potrebbero non essere integrate in alcun contratto.
- Le date di versione prodotto non sono un impegno, una promessa o un obbligo legale di fornire materiale, codice o funzionalità.
- Lo sviluppo, il rilascio e la tempistica di qualsiasi funzionalità o funzionalità descritta per i nostri prodotti, rimangono a nostra esclusiva discrezione. Possono essere modificate o annullate in qualsiasi momento.
