Etherpad-lite: Pergunta: Quais cabeçalhos CSP adicionar para proteger o etherpad

Criado em 9 dez. 2016  ·  7Comentários  ·  Fonte: ether/etherpad-lite

Olá,
Eu realmente não entendo CSP, então não consigo compor a configuração CSP certa para minha instância do etherpad. Alguém aqui pode me dar um exemplo do que deveria ser para manter o Etherpad funcionando, mas melhorar a segurança nele?
Acho que pode melhorar a documentação quando esses exemplos são adicionados.
Muito obrigado.

Waiting on Testing wontfix
Fonte
picture aswen

Todos 7 comentários

  • [x] Veja quais partes de https://observatory.mozilla.org/analyze/video.etherpad.com podemos fazer na base de código Etherpad sem prejudicar a experiência do usuário. Isso provavelmente significará colocar algumas coisas nas configurações.
  • [] Bits que não podemos fazer, devemos documentar

Observe que em Video.etherpad.com os resultados são

image

JohnMcLear picture JohnMcLear em 8 abr. 2020
👍1

Um simples npm install ep_helmet ou instalação ep_helmet por meio da IU de instalação do plug-in dará a você uma classificação B no Observatório. https://observatory.mozilla.org/analyze/video.etherpad.com

O escopo do problema era "quais cabeçalhos CSP", mas eu saí um pouco pela tangente e decidi cobrir muito mais explorações relacionadas ao cabeçalho disponíveis para os invasores. Isso dá ao administrador uma solução de "um clique" para aumentar a segurança.

Isso ainda não "corrige" a questão dos cabeçalhos CSP corretos. O CSP em geral é uma chatice de implementar no Etherpad devido ao fato de haver MUITO JS em linha. Muito maldito. E afaik é dinâmico, então preciso adotar a abordagem nonce e isso significa mexer em muitos arquivos. Nem tenho certeza se isso é possível, mas vou tentar passar mais algumas horas nisso e ver onde chego. Vale a pena o esforço, mesmo que apenas confirme que precisamos remover o javascript dos arquivos html. Imho inseguro-eval e inseguro-em-linha são os 2 maiores vetores que valem o esforço de abordar .. Talvez amanhã ..

https://github.com/johnmclear/ep_helmet

JohnMcLear picture JohnMcLear em 26 abr. 2020
🚀1

Ok, legal, agora uma solicitação de mesclagem foi feita para CSP e vou publicar um capacete atualizado.

JohnMcLear picture JohnMcLear em 27 abr. 2020
🎉1

Esperando no @muxator para revisar.

JohnMcLear picture JohnMcLear em 1 jul. 2020

Minha preocupação com a minha correção é que os plug-ins geralmente usam js embutidos, então se você habilitar a política csp estrita significará que alguns deles não funcionarão

JohnMcLear picture JohnMcLear em 1 jul. 2020

Eu rebasei hoje. Este PR está tão envolvido que não quero mesclá-lo sozinho.

O PR apenas lida com nonce's, não é ótimo para corrigir os problemas do InlineJS, mas para a maioria npm install ep_helmet salva o dia :)

JohnMcLear picture JohnMcLear em 17 jul. 2020

Este problema foi marcado automaticamente como obsoleto porque não teve atividades recentes. Ele será fechado se nenhuma outra atividade ocorrer. Obrigado por suas contribuições.

stale[bot] picture stale[bot] em 15 set. 2020
Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

g4rf picture g4rf  ·  5Comentários
wbt picture wbt  ·  7Comentários
YSelfTool picture YSelfTool  ·  5Comentários
kpcyrd picture kpcyrd  ·  8Comentários
BenBE picture BenBE  ·  5Comentários