Etherpad-lite: Pertanyaan: Header CSP apa yang harus ditambahkan untuk mengamankan etherpad?
Hai, yang di sana,
Saya tidak begitu mengerti CSP jadi saya gagal membuat konfigurasi CSP yang tepat untuk instance etherpad saya. Adakah yang bisa memberi saya contoh tentang apa yang seharusnya membuat Etherpad tetap berfungsi tetapi meningkatkan keamanannya?
Saya pikir itu bisa meningkatkan dokumentasi ketika contoh seperti itu ditambahkan.
Terima kasih banyak.
aswen
Semua 7 komentar
- [x] Lihat untuk melihat bagian mana dari https://observatory.mozilla.org/analyze/video.etherpad.com yang dapat kita lakukan di basis kode Etherpad tanpa merusak pengalaman pengguna. Ini mungkin berarti menempatkan beberapa hal dalam pengaturan.
- [ ] Hal-hal yang tidak dapat kita lakukan harus kita dokumentasikan
Catatan di Video.etherpad.com hasilnya adalah
JohnMcLear
pada 8 Apr 2020
npm install ep_helmet atau menginstal ep_helmet melalui UI instalasi plugin akan memberi Anda peringkat B di Observatory. https://observatory.mozilla.org/analyze/video.etherpad.com
Cakupan masalahnya adalah "apa header CSP" tetapi saya sedikit menyinggung dan memutuskan untuk membahas lebih banyak eksploitasi terkait header yang tersedia untuk penyerang. Ini memberi admin solusi "satu klik" untuk meningkatkan keamanan.
Ini belum "memperbaiki" pertanyaan tentang header CSP yang benar. CSP secara umum adalah jalang untuk diterapkan di Etherpad karena ada BANYAK JS inline. Begitu banyak. Dan afaik itu dinamis jadi saya perlu mengambil pendekatan nonce dan itu berarti menyentuh banyak file. Saya bahkan tidak yakin itu mungkin, tetapi saya akan mencoba menghabiskan beberapa jam lagi untuk itu dan melihat di mana saya bisa. Ini sepadan dengan usaha bahkan jika itu hanya mengonfirmasi bahwa kita perlu memindahkan javascript dari file html. Imho unsafe-eval dan unsafe-inline adalah 2 vektor terbesar yang layak untuk ditangani.. Mungkin besok..
JohnMcLear
pada 26 Apr 2020
Oke keren dan sekarang permintaan penggabungan untuk CSP dan saya akan menerbitkan helm yang diperbarui.
JohnMcLear
pada 27 Apr 2020
Menunggu @muxator untuk meninjau.
JohnMcLear
pada 1 Jul 2020
Kekhawatiran saya dengan perbaikan saya adalah bahwa plugin sering menggunakan js inline jadi jika Anda mengaktifkan kebijakan csp yang ketat itu berarti beberapa dari mereka tidak akan berfungsi
JohnMcLear
pada 1 Jul 2020
Saya rebased hari ini. PR ini sangat terlibat sehingga saya tidak ingin menggabungkannya sendiri.
PR hanya menangani nonce, itu tidak bagus untuk memperbaiki masalah inlineJS tetapi untuk sebagian besar npm install ep_helmet menghemat hari :)
JohnMcLear
pada 17 Jul 2020
Masalah ini secara otomatis ditandai sebagai basi karena tidak ada aktivitas terbaru. Ini akan ditutup jika tidak ada aktivitas lebih lanjut yang terjadi. Terima kasih atas kontribusi Anda.
![stale[bot] picture](https://avatars3.githubusercontent.com/in/1724?v=4&s=40)
stale[bot]
pada 15 Sep 2020
Masalah terkait
ArcticSnowman
·
10Komentar
zeer15398376
·
9Komentar
Unifex
·
5Komentar
YSelfTool
·
5Komentar
ddeenniiss
·
4Komentar