Etherpad-lite: Pregunta: ¿Qué encabezados CSP agregar para asegurar para etherpad?

Creado en 9 dic. 2016  ·  7Comentarios  ·  Fuente: ether/etherpad-lite

Hola,
Realmente no entiendo CSP, por lo que no puedo componer la configuración de CSP correcta para mi instancia de etherpad. ¿Alguien aquí puede darme un ejemplo de lo que debería ser para mantener Etherpad funcionando pero mejorar la seguridad?
Creo que podría mejorar la documentación cuando se agregan tales ejemplos.
Muchas gracias.

Waiting on Testing wontfix
Fuente
picture aswen

Todos 7 comentarios

  • [x] Mire para ver qué partes de https://observatory.mozilla.org/analyze/video.etherpad.com podemos hacer en la base de código Etherpad sin dañar la experiencia del usuario. Esto probablemente signifique poner algunas cosas en la configuración.
  • [] Cosas que no podemos hacer, deberíamos documentar

Tenga en cuenta que en Video.etherpad.com los resultados son

image

JohnMcLear picture JohnMcLear en 8 abr. 2020
👍1

Un simple npm install ep_helmet o instalar ep_helmet través de la interfaz de usuario de instalación del complemento le dará una calificación B en el Observatorio. https://observatory.mozilla.org/analyze/video.etherpad.com

El alcance del problema era "qué cabeceras de CSP", pero me desvié un poco y decidí cubrir muchas más de las vulnerabilidades relacionadas con las cabeceras disponibles para los atacantes. Esto le da al administrador una solución de "un clic" para aumentar la seguridad.

Esto todavía no "soluciona" la cuestión de los encabezados CSP correctos. CSP en general es complicado de implementar en Etherpad debido a que hay MUCHO JS en línea. Maldita sea. Y afaik es dinámico, así que necesito adoptar el enfoque nonce y eso significa tocar muchos archivos. Ni siquiera estoy seguro de que sea posible, pero voy a intentar dedicarle unas horas más y ver dónde llego. Vale la pena el esfuerzo incluso si solo confirma que necesitamos mover el javascript fuera de los archivos html. En mi humilde opinión, unsafe-eval y unsafe-inline son los 2 vectores más importantes que vale la pena abordar. Quizás mañana ...

https://github.com/johnmclear/ep_helmet

JohnMcLear picture JohnMcLear en 26 abr. 2020
🚀1

Está bien, y ahora hay una solicitud de fusión para CSP y voy a publicar un casco actualizado.

JohnMcLear picture JohnMcLear en 27 abr. 2020
🎉1

Esperando que @muxator revise.

JohnMcLear picture JohnMcLear en 1 jul. 2020

Mi preocupación con mi solución por cierto es que los complementos a menudo usan js en línea, por lo que si habilita la política estricta de csp, significará que algunos de ellos no funcionarán

JohnMcLear picture JohnMcLear en 1 jul. 2020

Rebasé hoy. Este RP está tan involucrado que no quiero fusionarlo yo mismo.

El PR solo maneja los nonce, no es excelente para solucionar los problemas de inlineJS, pero para la mayoría npm install ep_helmet salva el día :)

JohnMcLear picture JohnMcLear en 17 jul. 2020

Este problema se ha marcado automáticamente como obsoleto porque no ha tenido actividad reciente. Se cerrará si no se produce más actividad. Gracias por sus aportaciones.

stale[bot] picture stale[bot] en 15 sept. 2020
¿Fue útil esta página
0 / 5 - 0 calificaciones

Temas relacionados

ljoets picture ljoets  ·  9Comentarios
YSelfTool picture YSelfTool  ·  5Comentarios
dessalines picture dessalines  ·  7Comentarios
wbt picture wbt  ·  7Comentarios
kernelfreak picture kernelfreak  ·  9Comentarios