أهلا،
أنا لا أفهم CSP حقًا ، لذلك فشلت في تكوين تكوين CSP الصحيح لمثيل etherpad الخاص بي. هل يمكن لأي شخص هنا أن يعطيني مثالاً عما يجب أن يكون عليه الحفاظ على عمل Etherpad مع تحسين الأمان عليه؟
أعتقد أنه يمكن تحسين التوثيق عند إضافة مثل هذه الأمثلة.
شكرا جزيلا.
ملاحظة على Video.etherpad.com النتائج
الحصول على npm install ep_helmet
أو تثبيت ep_helmet
خلال واجهة مستخدم تثبيت البرنامج المساعد تحصل على تصنيف B على المرصد. https://observatory.mozilla.org/analyze/video.etherpad.com
كان نطاق المشكلة هو "ما هي رؤوس CSP" ولكني خرجت قليلاً وقررت تغطية الكثير من الثغرات ذات الصلة بالرؤوس المتاحة للمهاجمين. هذا يمنح المسؤول حلاً "بنقرة واحدة" لزيادة الأمان.
هذا لا "يصلح" مسألة رؤوس CSP الصحيحة حتى الآن. CSP بشكل عام عبارة عن عاهرة يجب تنفيذها في Etherpad نظرًا لوجود الكثير من JS المضمنة. لعنة كثيرا. و afaik هو ديناميكي لذا أحتاج إلى اتباع نهج nonce وهذا يعني لمس الكثير من الملفات. لست متأكدًا من أنه ممكن ، لكنني سأحاول قضاء بضع ساعات أخرى في ذلك وأرى من أين سأصل. إنه يستحق الجهد حتى لو كان يؤكد فقط أننا بحاجة إلى نقل جافا سكريبت خارج ملفات html. يعد Imho غير الآمن Eval و unsafe-inline أكبر متجهين يستحقان الجهد المبذول في معالجتهما .. ربما غدًا ..
حسنًا ، رائع والآن هناك طلب دمج لـ CSP وسأقوم بنشر خوذة محدثة.
في انتظار muxator للمراجعة.
ما يثير قلقي بشأن الإصلاح الخاص بي هو أن المكونات الإضافية غالبًا ما تستخدم js المضمنة ، لذا إذا قمت بتمكين سياسة csp الصارمة ، فهذا يعني أن بعضها لن يعمل
لقد أعيدت إقامتي اليوم. هذا العلاقات العامة متورط لدرجة أنني لا أريد دمجها بنفسي.
يتعامل PR فقط مع nonce ، فهو ليس رائعًا لإصلاح مشكلات inlineJS ولكن بالنسبة لمعظم npm install ep_helmet
يوفر اليوم :)
تم وضع علامة على هذه المشكلة تلقائيًا على أنها قديمة نظرًا لعدم وجود نشاط حديث لها. سيتم إغلاقه إذا لم يحدث أي نشاط آخر. شكرا لمساهماتكم.