[ABD] Content Security Policy

[tas2580]

Titel: Content Security Policy
Version: 0.1.0
phpBB-Version: 3.1.*
Language: de
Style: all
Download: https://tas2580.net/downloads/phpbb-con ... ty-policy/
Github: https://github.com/tas2580/contentsecurety

Beschreibung:
Die Extension ermöglicht es einen Content Security Policy Header zu senden. So kann falls der Browser es unterstützt festgelegt werden von wo und wie Ressourcen eingebunden werden dürfen. Alle Ressourcen die laut Policy nicht zugelassen sind werden vom Browser blockiert. So kann XSS verhindert werden.
Beachte das Falsche Einstellungen das Forum unbrauchbar machen können!

[Talk19zehn]

Hi von [BTK] Tobi, das klingt ja gut. Der Downloadlink funktioniert in meinem Falle momentan leider nicht --> "Die Webseite kann nicht angezeigt werden".... . So etwas kommt vor. In der Zwischenzeit las ich deinen Bezug ...

https://de.wikipedia.org/wiki/Content_Security_Policy
Problem des klassischen Sicherheitskonzepts

Webseiten können aktive Inhalte beispielsweise in Form von JavaScript-Code enthalten. Wenn die Webbrowser diesen Code ausführen, erzwingen sie die Einhaltung der Same-Origin-Policy. Dies bedeutet, dass Code von einer Quelle nicht auf Inhalte einer anderen Quelle zugreifen darf. So darf beispielsweise der Code in der Webseite eines Angreifers nicht auf die Elemente einer Onlinebanking-Webseite zugreifen.

In der Praxis sind jedoch Cross-Site-Scripting-Schwachstellen sehr verbreitet, wodurch die Same-Origin-Policy ausgehebelt wird. Eine Cross-Site-Scripting-Schwachstelle entsteht, wenn sich eine Webseite durch fehlerhafte Maskierung Code unterschieben lässt. Aus Sicht des Browsers kommt dieser untergeschobene Code aus der gleichen Quelle wie die angegriffene Webseite.

Wie wird das Prozedere in der EXT realisiert? Und welche Browsereinstellungen sind deiner Meinung entsprechend deinem Konzept sodann empfehlenswert bzw. werden wie berücksichtigt? Wie passt sich das Ganze an die Forumswelt an? Ist ja ein spannendes Thema (meiner Auffassung nach)!

LG

[tas2580]

Hi von [BTK] Tobi, das klingt ja gut. Der Downloadlink funktioniert in meinem Falle momentan leider nicht --> "Die Webseite kann nicht angezeigt werden".... . So etwas kommt vor.

Stimmt irgendwas ist schon wieder bei Github kaputt, meine Seite liest dort keine Daten aus, der Download funktioniert bei mir aber.

Wie wird das Prozedere in der EXT realisiert?

Der Server sendet einen HTTP Header in dem die Policy steht. Wenn der Browser damit umgehen kann (tun alle modernen Browser) unterbindet er das Einbinden von nicht erlaubten Ressourcen. Du kannst also z.B. angeben von wo aus externe JavaScripts oder Bilder eingebunden werden dürfen. Außerdem kannst du z.B. inline Styles oder Scripte verbieten.
Normalerweise sollte man für JavaScripts, CSS und Bilder 'self' zulassen, wenn man aber statische Ressourcen auf eine cookielose Subdomain oder ein CDN auslagert um die Performance der Seite zu steigern kann man 'self' verbieten und nur das CDN/die Subdomain zulassen. Durch die Content Security Policy wird sicher gestellt das wirklich nichts mehr von der eigentlichen Domain kommt.
Wenn man seltsame Mods/Extensions einbaut die es einem Benutzer erlauben irgendwie eigenen Code einzuschleusen wird das durch die Content Security Policy unterbunden. Oder man kann Bilder nur von HTTPS Seiten zulassen was sinnvoll ist wenn man selber HTTPS verwendet. Falls jemand die Seite hackt und heimlich irgendwelche JavaScripts einbindet werden die blockiert.

Eine gute Policy zu finden ist nicht ganz einfach und das ganze ist auch nur sinnvoll wenn man mit externen Ressourcen sparsam ist. Wer sein Forum mit Facebook Buttons, Adsense und sonstigem Zeug zuballert wird damit nichts anfangen können da es dann fast nicht mehr möglich ist eine gute Policy zu erstellen. Wenn man aber wie mein Blog z.B. komplett auf externe Ressourcen verzichtet um sich keine Gedanken über Datenschutz machen zu müssen kann das durch die Content Security Policy nochmal sicherstellen.

Gruß Tobi

[tas2580]

Da ich mich in der nächsten Zeit nicht mehr um die Entwicklung meiner Extensions kümmern kann habe ich die Entwicklung der Extension eingestellt. Von mir wird es in absehbarer Zeit keine Updates und auch nur noch sehr eingeschränkten Support geben.

Falls jemand anderes hier weiter machen möchte kann er das gerne tun.

Gruß Tobi

[Wolkenbruch]

Ich wollte einfach kurz fragen, ob sich in der Zwischenzeit jemand dieser Erweiterung angenommen hat oder ob es bei phpBB 3.3.5 keinen Sinn mehr macht?

Wenn ich darauf teste, erhalte ich folgendes Ergebnis: Content Security Policy: implementiert, aber mit Fehlern (Ohne eingebaute Erweiterung)

Wünsche allen ein schönes Wochenende und bleibt gesund