Olá,
Eu realmente não entendo CSP, então não consigo compor a configuração CSP certa para minha instância do etherpad. Alguém aqui pode me dar um exemplo do que deveria ser para manter o Etherpad funcionando, mas melhorar a segurança nele?
Acho que pode melhorar a documentação quando esses exemplos são adicionados.
Muito obrigado.
Observe que em Video.etherpad.com os resultados são
Um simples npm install ep_helmet
ou instalação ep_helmet
por meio da IU de instalação do plug-in dará a você uma classificação B no Observatório. https://observatory.mozilla.org/analyze/video.etherpad.com
O escopo do problema era "quais cabeçalhos CSP", mas eu saí um pouco pela tangente e decidi cobrir muito mais explorações relacionadas ao cabeçalho disponíveis para os invasores. Isso dá ao administrador uma solução de "um clique" para aumentar a segurança.
Isso ainda não "corrige" a questão dos cabeçalhos CSP corretos. O CSP em geral é uma chatice de implementar no Etherpad devido ao fato de haver MUITO JS em linha. Muito maldito. E afaik é dinâmico, então preciso adotar a abordagem nonce e isso significa mexer em muitos arquivos. Nem tenho certeza se isso é possível, mas vou tentar passar mais algumas horas nisso e ver onde chego. Vale a pena o esforço, mesmo que apenas confirme que precisamos remover o javascript dos arquivos html. Imho inseguro-eval e inseguro-em-linha são os 2 maiores vetores que valem o esforço de abordar .. Talvez amanhã ..
Ok, legal, agora uma solicitação de mesclagem foi feita para CSP e vou publicar um capacete atualizado.
Esperando no @muxator para revisar.
Minha preocupação com a minha correção é que os plug-ins geralmente usam js embutidos, então se você habilitar a política csp estrita significará que alguns deles não funcionarão
Eu rebasei hoje. Este PR está tão envolvido que não quero mesclá-lo sozinho.
O PR apenas lida com nonce's, não é ótimo para corrigir os problemas do InlineJS, mas para a maioria npm install ep_helmet
salva o dia :)
Este problema foi marcado automaticamente como obsoleto porque não teve atividades recentes. Ele será fechado se nenhuma outra atividade ocorrer. Obrigado por suas contribuições.