Etherpad-lite: سؤال: ما هي رؤوس CSP التي يجب إضافتها لتأمين etherpad

• [x] انظر لمعرفة أي أجزاء من https://observatory.mozilla.org/analyze/video.etherpad.com يمكننا القيام به في قاعدة كود Etherpad بدون تجربة مستخدم ضارة. ربما يعني هذا وضع بعض الأشياء في الإعدادات.
• [] بتات لا يمكننا القيام بها يجب أن نوثق

ملاحظة على Video.etherpad.com النتائج

الحصول على npm install ep_helmet أو تثبيت ep_helmet خلال واجهة مستخدم تثبيت البرنامج المساعد تحصل على تصنيف B على المرصد. https://observatory.mozilla.org/analyze/video.etherpad.com

كان نطاق المشكلة هو "ما هي رؤوس CSP" ولكني خرجت قليلاً وقررت تغطية الكثير من الثغرات ذات الصلة بالرؤوس المتاحة للمهاجمين. هذا يمنح المسؤول حلاً "بنقرة واحدة" لزيادة الأمان.

هذا لا "يصلح" مسألة رؤوس CSP الصحيحة حتى الآن. CSP بشكل عام عبارة عن عاهرة يجب تنفيذها في Etherpad نظرًا لوجود الكثير من JS المضمنة. لعنة كثيرا. و afaik هو ديناميكي لذا أحتاج إلى اتباع نهج nonce وهذا يعني لمس الكثير من الملفات. لست متأكدًا من أنه ممكن ، لكنني سأحاول قضاء بضع ساعات أخرى في ذلك وأرى من أين سأصل. إنه يستحق الجهد حتى لو كان يؤكد فقط أننا بحاجة إلى نقل جافا سكريبت خارج ملفات html. يعد Imho غير الآمن Eval و unsafe-inline أكبر متجهين يستحقان الجهد المبذول في معالجتهما .. ربما غدًا ..

https://github.com/johnmclear/ep_helmet

حسنًا ، رائع والآن هناك طلب دمج لـ CSP وسأقوم بنشر خوذة محدثة.

في انتظار muxator للمراجعة.

ما يثير قلقي بشأن الإصلاح الخاص بي هو أن المكونات الإضافية غالبًا ما تستخدم js المضمنة ، لذا إذا قمت بتمكين سياسة csp الصارمة ، فهذا يعني أن بعضها لن يعمل

لقد أعيدت إقامتي اليوم. هذا العلاقات العامة متورط لدرجة أنني لا أريد دمجها بنفسي.

يتعامل PR فقط مع nonce ، فهو ليس رائعًا لإصلاح مشكلات inlineJS ولكن بالنسبة لمعظم npm install ep_helmet يوفر اليوم :)

تم وضع علامة على هذه المشكلة تلقائيًا على أنها قديمة نظرًا لعدم وجود نشاط حديث لها. سيتم إغلاقه إذا لم يحدث أي نشاط آخر. شكرا لمساهماتكم.