Der HTTP-Security-Header X-XSS-Protection ist zum Schutz vor reflektierten (engl. reflected) Cross-Site-Scripting (XSS)-Angriffen gedacht. Dieser HTTP-Header wird aber nur noch von älterern Webbrowsern, wie z.B. dem Internet Explorer 11, unterstützt. Heutzutage sollte stattdessen lieber eine strikte Content-Security-Policy (CSP) verwendet werden. Der vollständigkeitshalber soll der X-XSS-Protection-Header im Rahmen der Beitragsserie HTTP-Security-Header in diesem Beitrag aber kurz vorgestellt werden.

Weiterlesen

Einige Webbrowser verfügen über eine Funktionalität namens Content-/MIME-Sniffing. Eigentlich gut gemeint, kann diese Funktionalität aber auch von Angreifern missbraucht werden. Um dies zu verhindern, kann der HTTP-Security-Header X-Content-Type-Options eingesetzt werden.

Weiterlesen

Sogenannte verschlüsselte Container sind eine einfache Möglichkeit Daten sicher aufzubewahren. Dabei handelt es sich um eine spezielle verschlüsselte Datei fester Größe. Diese Datei, also der Container, kann per Passwort und/oder Schlüseldatei entschlüsselt und als virtuelles Laufwerk ins Dateisystem eingebunden werden.

In diesem Beitrag zeige ich euch, wie sich mit VeraCrypt so ein verschlüsselter Container erstellen lässt.

Weiterlesen

Durch Verwendung des HTTP-Security-Headers X-Frame-Options können sogenannte Clickjacking-Angriffe unterbunden werden. Hierfür wird dem Webbrowser mitgeteilt, inwieweit die aufgerufene Webseite in eine andere Webseite - z.B. via Frames - eingebettet werden darf.

Details zum Einsatz von X-Frame-Options erfahrt ihr in diesem Beitrag.

Weiterlesen

Aus Sicherheitsgründen sollte Software immer nur aus vertrauenswürdigen Quellen bezogen werden. Des Weiteren empfiehlt es sich, nur signierte Software einzusetzen und diese vor der Installation immer zu verifizieren. Wie genau eine solche Verifikation basierend auf PGP-Signaturen funktioniert, erfahrt ihr in diesem Beitrag. Als Anschauungsbeispiel dient hierfür die signierte F-Droid-App (alternativer Android-App-Store).

Weiterlesen