Etherpad-lite: Question : Quels en-têtes CSP ajouter pour sécuriser pour etherpad
Salut,
Je ne comprends pas vraiment le CSP, donc je ne parviens pas à composer la bonne configuration CSP pour mon instance etherpad. Quelqu'un ici peut-il me donner un exemple de ce que devrait être le fonctionnement d'Etherpad tout en améliorant la sécurité?
Je pense que cela pourrait améliorer la documentation lorsque de tels exemples sont ajoutés.
Merci beaucoup.
aswen
Tous les 7 commentaires
- [x] Regardez pour voir quelles parties de https://observatory.mozilla.org/analyze/video.etherpad.com nous pouvons faire dans la base de code Etherpad sans endommager l'expérience utilisateur. Cela signifiera probablement mettre des choses dans les paramètres.
- [ ] Bits que nous ne pouvons pas faire, nous devrions documenter
Notez sur Video.etherpad.com les résultats sont
JohnMcLear
le 8 avr. 2020
Un simple npm install ep_helmet ou une installation de ep_helmet via l'interface utilisateur d'installation du plugin vous obtiendra une note B sur Observatory. https://observatory.mozilla.org/analyze/video.etherpad.com
La portée du problème était "quels en-têtes CSP", mais je suis parti sur une tangente et j'ai décidé de couvrir beaucoup plus d'exploits liés aux en-têtes disponibles pour les attaquants. Cela donne à l'administrateur une solution "en un clic" pour augmenter la sécurité.
Cela ne "répare" pas encore la question des en-têtes CSP corrects. CSP en général est difficile à implémenter dans Etherpad en raison de la présence de BEAUCOUP de JS en ligne. Tant pis. Et à ma connaissance, c'est dynamique, donc je dois adopter l'approche nonce et cela signifie toucher beaucoup de fichiers. Je ne suis même pas sûr que ce soit possible mais je vais essayer d'y passer quelques heures de plus et voir où j'en arrive. Cela en vaut la peine même si cela confirme simplement que nous devons déplacer le javascript hors des fichiers html. Imho unsafe-eval et unsafe-inline sont les 2 plus grands vecteurs qui valent la peine d'être traités. Peut-être demain..
JohnMcLear
le 26 avr. 2020
Okay cool et maintenant une demande de fusion est pour CSP et je vais publier un casque mis à jour.
JohnMcLear
le 27 avr. 2020
En attente de @muxator pour réviser.
JohnMcLear
le 1 juil. 2020
Ma préoccupation avec mon correctif est que les plugins utilisent souvent des js en ligne, donc si vous activez une politique csp stricte, cela signifie que certains d'entre eux ne fonctionneront pas
JohnMcLear
le 1 juil. 2020
J'ai rebasé aujourd'hui. Ce PR est tellement impliqué que je ne veux pas le fusionner moi-même.
Le PR ne gère que les nonce, ce n'est pas génial pour résoudre les problèmes inlineJS mais pour la plupart, npm install ep_helmet sauve la journée :)
JohnMcLear
le 17 juil. 2020
Ce problème a été automatiquement marqué comme obsolète car il n'a pas eu d'activité récente. Il sera fermé si aucune autre activité ne se produit. Merci pour vos contributions.
![stale[bot] picture](https://avatars3.githubusercontent.com/in/1724?v=4&s=40)
stale[bot]
le 15 sept. 2020
Questions connexes
rmader
·
6Commentaires
wbt
·
7Commentaires
ziyaointl
·
9Commentaires
Pita
·
7Commentaires
julpec
·
9Commentaires