Etherpad-lite: Вопрос: какие заголовки CSP добавить для защиты etherpad

Созданный на 9 дек. 2016  ·  7Комментарии  ·  Источник: ether/etherpad-lite

Всем привет,
Я действительно не понимаю CSP, поэтому мне не удалось составить правильную конфигурацию CSP для моего экземпляра etherpad. Может ли кто-нибудь здесь дать мне пример того, что должно быть, чтобы Etherpad работал, но повышал его безопасность?
Я думаю, что добавление таких примеров могло бы улучшить документацию.
Большое спасибо.

Waiting on Testing wontfix
Источник
picture aswen

Все 7 Комментарий

  • [x] Посмотрите, какие части https://observatory.mozilla.org/analyze/video.etherpad.com мы можем сделать в базе кода Etherpad без ущерба для пользовательского опыта. Это, вероятно, будет означать внесение каких-либо изменений в настройки.
  • [] Биты, которые мы не можем сделать, мы должны задокументировать

Обратите внимание на Video.etherpad.com, результаты

image

JohnMcLear picture JohnMcLear 8 апр. 2020
👍1

Простой npm install ep_helmet или установка ep_helmet через пользовательский интерфейс установки плагина даст вам рейтинг B в Observatory. https://observatory.mozilla.org/analyze/video.etherpad.com

Объем проблемы заключался в том, «какие заголовки CSP», но я пошел немного по касательной и решил охватить гораздо больше эксплойтов, связанных с заголовками, доступных злоумышленникам. Это дает администратору решение «в один клик» для повышения безопасности.

Это еще не «решает» вопрос о правильных заголовках CSP. CSP вообще сложно реализовать в Etherpad из-за того, что там ТАК МНОГО встроенного JS. Так чертовски много. И, кстати, это динамично, поэтому мне нужно использовать подход nonce, а это значит, что нужно коснуться большого количества файлов. Я даже не уверен, что это возможно, но я постараюсь потратить на это еще несколько часов и посмотреть, к чему я вернусь. Это стоит усилий, даже если оно просто подтверждает, что нам нужно переместить javascript из файлов html. Imho unsafe-eval и unsafe-inline - два самых больших вектора, на которые стоит обратить внимание .. Может быть, завтра ..

https://github.com/johnmclear/ep_helmet

JohnMcLear picture JohnMcLear 26 апр. 2020
🚀1

Хорошо, круто, теперь готовится запрос на слияние для CSP, и я собираюсь опубликовать обновленный шлем.

JohnMcLear picture JohnMcLear 27 апр. 2020
🎉1

Жду @muxator для обзора.

JohnMcLear picture JohnMcLear 1 июл. 2020

Мое беспокойство по поводу моего исправления, кстати, заключается в том, что плагины часто используют встроенные js, поэтому, если вы включите строгую политику csp, это будет означать, что некоторые из них не будут работать

JohnMcLear picture JohnMcLear 1 июл. 2020

Перепрошил сегодня. Этот пиар настолько запутан, что я не хочу сам сливать его.

PR просто обрабатывает одноразовые номера, это не очень хорошо для исправления проблем с inlineJS, но для большинства npm install ep_helmet спасает положение :)

JohnMcLear picture JohnMcLear 17 июл. 2020

Эта проблема была автоматически помечена как устаревшая, поскольку в последнее время не было активности. Он будет закрыт, если больше не будет активности. Спасибо за ваш вклад.

stale[bot] picture stale[bot] 15 сент. 2020
Была ли эта страница полезной?
0 / 5 - 0 рейтинги

Смежные вопросы

unaimed picture unaimed  ·  13Комментарии
SkoricIT picture SkoricIT  ·  94Комментарии
fpoulain picture fpoulain  ·  13Комментарии
fancycade picture fancycade  ·  29Комментарии
sudoman picture sudoman  ·  19Комментарии