Ce document décrit la position de support technique de l’ingénierie de support, par rapport à une application McAfee.
McAfee réponse aux en-têtes de sécurité HTTP manquants et à CWE-693 :
Echec du mécanisme de protection
Introduction
Ce document traite des préoccupations relatives aux en-têtes de sécurité HTTP manquants signalés par les analyseurs de vulnérabilités sur ePO. Examinez les informations supplémentaires au niveau de la sécurité :
Description
Certains analyseurs de vulnérabilités peuvent marquer le port HTTP 8443 et le port 8444 avec la vulnérabilité suivante :
CWE-693-Echec du mécanisme de protection
QID 11827-en-tête de sécurité HTTP non détecté
PluginID 84502-l’HSTS manquant sur le serveur HTTPS
Les en-têtes suivants font partie de cette vulnérabilité :
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Content-Security-Policy
- Strict-Transport-Security
Recherches et conclusions
L’équipe de recherche et de conclusion d’ePO est la suivante :
pas Merci.
- X-Frame-Options: ePO ajoute X-Frame-Options uses SAMEORIGIN dans toutes les pages Web traitées, et ePO est protégé contre clickjacking malveillant.
- X-XSS-Protection: L’injection de code XSS et le rendu sont atténués dans plusieurs couches d’ePO. Les données non approuvées ou fournies par l’utilisateur sont correctement stockées (si nécessaire) et échappées (codées) lors du rendu pour empêcher les XSS. ePO s’occupe de la prévention des attaques XSS sans l’utilisation de X-XSS-Protection tête.
- X-Content-Type-Options: La plupart des contenus ePO disposent d’un type de contenu précis. Tout contenu ne possédant pas de type de contenu est un contenu statique géré par ePO/MFS. Le contenu chargé par l’utilisateur possède le type de contenu approprié pour empêcher le MIMI-espionnage. De plus, Chrome et Internet Explorer étaient sujets à la détection MIME, mais avec la dernière version d’Chrome et de Internet Explorer, la détection MIME n’est pas possible.
- Content-Security-Policy: ePO ne sert à aucun fichier HTML utilisant des scripts chargés à partir de sources externes. par conséquent, l’absence de cet en-tête n’a aucun effet sur le contenu traité.
- Strict-Transport-Security: La console ePO est fournie dans HTTPS et il n’y a pas de tunnel vers HTTP ou HTTPS. L’absence de cet en-tête n’a donc aucun effet sur le contenu fourni.
Renonciation
Toutes les futures dates de publication du produit mentionnées dans cette déclaration sont destinées à présenter notre orientation générale du produit. Elles ne doivent pas être reportées pour prendre une décision d’achat :
- Les dates de publication du produit sont fournies à titre indicatif uniquement et ne peuvent pas être incorporées dans un contrat.
- Les dates de publication des produits ne sont pas un engagement, une promesse ou une obligation légale de fournir des éléments, du code ou des fonctionnalités.
- Le développement, la libération et la planification de toutes les fonctionnalités ou fonctionnalités décrites pour nos produits restent à notre entière discrétion. Ils peuvent être modifiés ou annulés à tout moment.
