Etherpad-lite: Frage: Welche CSP-Header müssen hinzugefügt werden, um das Etherpad zu sichern?

Erstellt am 9. Dez. 2016  ·  7Kommentare  ·  Quelle: ether/etherpad-lite

Hi,
Ich verstehe CSP nicht wirklich, daher kann ich nicht die richtige CSP-Konfiguration für meine Etherpad-Instanz erstellen. Kann mir hier jemand ein Beispiel dafür geben, was es sein sollte, um Etherpad am Laufen zu halten, aber die Sicherheit zu verbessern?
Ich denke, es könnte die Dokumentation verbessern, wenn solche Beispiele hinzugefügt werden.
Danke vielmals.

Waiting on Testing wontfix
Quelle
picture aswen

Alle 7 Kommentare

  • [x] Sehen Sie nach, welche Teile von https://observatory.mozilla.org/analyze/video.etherpad.com wir in der Etherpad-Codebasis ohne schädliche Benutzererfahrung ausführen können. Dies wird wahrscheinlich bedeuten, einige Dinge in die Einstellungen zu setzen.
  • [ ] Dinge, die wir nicht tun können, sollten wir dokumentieren

Hinweis auf Video.etherpad.com die Ergebnisse sind

image

JohnMcLear picture JohnMcLear am 8. Apr. 2020
👍1

Ein einfaches npm install ep_helmet oder eine Installation von ep_helmet über die Plugin-Installations-Benutzeroberfläche bringt Ihnen eine B-Bewertung auf Observatory. https://observatory.mozilla.org/analyze/video.etherpad.com

Der Umfang des Problems war "welche CSP-Header", aber ich bin ein bisschen tangiert und beschloss, viel mehr der Header-bezogenen Exploits zu behandeln, die Angreifern zur Verfügung stehen. Dies gibt dem Administrator eine "Ein-Klick"-Lösung, um die Sicherheit zu erhöhen.

Dies "behebt" die Frage nach den richtigen CSP-Headern noch nicht. CSP ist im Allgemeinen eine Schlampe, die in Etherpad implementiert werden muss, da es SO VIEL Inline-JS gibt. So verdammt viel. Und afaik ist es dynamisch, also muss ich den Nonce-Ansatz wählen und das bedeutet, viele Dateien zu berühren. Ich bin mir nicht einmal sicher, ob es möglich ist, aber ich werde versuchen, noch ein paar Stunden damit zu verbringen und zu sehen, wo ich hinkomme. Es lohnt sich, auch wenn es nur bestätigt, dass wir das Javascript aus den HTML-Dateien entfernen müssen. Imho Unsafe-Eval und Unsafe-Inline sind die 2 größten Vektoren, die es wert sind, angesprochen zu werden. Vielleicht morgen..

https://github.com/johnmclear/ep_helm

JohnMcLear picture JohnMcLear am 26. Apr. 2020
🚀1

Okay cool und jetzt ist eine Zusammenführungsanfrage für CSP und ich werde einen aktualisierten Helm veröffentlichen.

JohnMcLear picture JohnMcLear am 27. Apr. 2020
🎉1

Warten auf @muxator zur Überprüfung.

JohnMcLear picture JohnMcLear am 1. Juli 2020

Mein Problem mit meinem Fix ist übrigens, dass Plugins oft Inline-Js verwenden. Wenn Sie also eine strenge CSP-Richtlinie aktivieren, bedeutet dies, dass einige von ihnen nicht funktionieren

JohnMcLear picture JohnMcLear am 1. Juli 2020

Ich habe heute umgebaut. Diese PR ist so involviert, dass ich sie nicht selbst zusammenführen möchte.

Der PR kümmert sich nur um Nonces, es ist nicht großartig, um die InlineJS-Probleme zu beheben, aber für die meisten rettet npm install ep_helmet den Tag :)

JohnMcLear picture JohnMcLear am 17. Juli 2020

Dieses Problem wurde automatisch als veraltet markiert, da es in letzter Zeit keine Aktivität hatte. Es wird geschlossen, wenn keine weitere Aktivität stattfindet. Vielen Dank für Ihre Beiträge.

stale[bot] picture stale[bot] am 15. Sept. 2020
War diese Seite hilfreich?
0 / 5 - 0 Bewertungen

Verwandte Themen

YSelfTool picture YSelfTool  ·  5Kommentare
kpcyrd picture kpcyrd  ·  8Kommentare
Unifex picture Unifex  ·  5Kommentare
wbt picture wbt  ·  7Kommentare
dessalines picture dessalines  ·  7Kommentare