やあ、
私はCSPを本当に理解していないので、etherpadインスタンスに適切なCSP構成を作成できません。 ここにいる誰かが、Etherpadを機能させ続けながら、セキュリティを向上させるための例を教えてもらえますか?
このような例を追加すると、ドキュメントが改善されると思います。
どうもありがとう。
aswen
全てのコメント7件
- [x] https://observatory.mozilla.org/analyze/video.etherpad.comのどの部分を、ユーザーエクスペリエンスを損なうことなくEtherpadコードベースで実行できるかを確認して
- []私たちができないことを文書化する必要があります
Video.etherpad.comの結果は次のとおりです。
JohnMcLear
2020年04月08日
単純なnpm install ep_helmetまたはプラグインインストールUIを介してep_helmetをインストールすると、Observatoryでhttps://observatory.mozilla.org/analyze/video.etherpad.com
問題の範囲は「どのCSPヘッダー」でしたが、私は少し正直に言って、攻撃者が利用できるヘッダー関連のエクスプロイトをもっと多くカバーすることにしました。 これにより、管理者はセキュリティを強化するための「ワンクリック」ソリューションを利用できます。
これは、正しいCSPヘッダーの問題をまだ「修正」していません。 CSPは、インラインJSが非常に多いため、一般的にEtherpadに実装するのは難しいです。 とても気になります。 そして、それは動的なので、私はナンスのアプローチを取る必要があり、それは多くのファイルに触れることを意味します。 それが可能かどうかさえわかりませんが、もう少し時間をかけて、どこにたどり着くかを見ていきます。 javascriptをhtmlファイルから移動する必要があることを確認しただけでも、努力する価値があります。 Imhounsafe-evalとunsafe-inlineは、取り組む価値のある2つの最大のベクトルです。多分明日。
JohnMcLear
2020年04月26日
かっこいいです。今度はCSPのマージ要求があり、更新されたヘルメットを公開します。
JohnMcLear
2020年04月27日
@muxatorがレビューするのを待っています。
JohnMcLear
2020年07月01日
私の修正に関する私の懸念は、プラグインがインラインjsを使用することが多いため、厳密なcspポリシーを有効にすると、一部のプラグインが機能しなくなることです。
JohnMcLear
2020年07月01日
今日はリベースしました。 このPRは非常に複雑なので、自分でマージしたくありません。
PRはナンスを処理するだけです。inlineJSの問題を修正するのには適していませんが、ほとんどの場合、 npm install ep_helmetは1日を節約します:)
JohnMcLear
2020年07月17日
この問題は、最近のアクティビティがないため、自動的に古いものとしてマークされています。 それ以上のアクティビティが発生しない場合は閉じられます。 貢献していただきありがとうございます。
![stale[bot] picture](https://avatars3.githubusercontent.com/in/1724?v=4&s=40)
stale[bot]
2020年09月15日
関連する問題
julpec
·
9コメント
zeer15398376
·
9コメント
Unifex
·
5コメント
alekso87
·
6コメント
yurivict
·
8コメント