[ABD] Content Security Policy

In diesem Forum werden nicht länger gepflegte Extensions respektive ihre Themen aufbewahrt. Soll an den Extensions weitergearbeitet werden, bitten wir den Autor eine Nachricht per Kontaktformular zu senden. Nur lesender Zugriff.
Forumsregeln
ABD = ABANDONED = Verlassen/Aufgegeben
  • In diesem Forum werden nicht länger gepflegte Extensions respektive ihre Themen aufbewahrt. Nur lesender Zugriff!
  • Wir raten generell davon ab solche Erweiterungen zu installieren, da sowohl Support als auch Weiterentwicklung ungewiss sind.
  • Soll an den Extensions weitergearbeitet werden, bitten wir den Autor eine Nachricht per Kontaktformular zu senden.
Gesperrt
Benutzeravatar
tas2580
Ehemaliges Teammitglied
Beiträge: 3029
Registriert: 01.07.2004 05:42
Wohnort: /home/tas2580
Kontaktdaten:

[ABD] Content Security Policy

Beitrag von tas2580 »

Titel: Content Security Policy
Version: 0.1.0
phpBB-Version: 3.1.*
Language: de
Style: all
Download: https://tas2580.net/downloads/phpbb-con ... ty-policy/
Github: https://github.com/tas2580/contentsecurety

Beschreibung:
Die Extension ermöglicht es einen Content Security Policy Header zu senden. So kann falls der Browser es unterstützt festgelegt werden von wo und wie Ressourcen eingebunden werden dürfen. Alle Ressourcen die laut Policy nicht zugelassen sind werden vom Browser blockiert. So kann XSS verhindert werden.
Beachte das Falsche Einstellungen das Forum unbrauchbar machen können!
Zuletzt geändert von tas2580 am 03.10.2015 01:39, insgesamt 2-mal geändert.
Heute ist ein guter Tag um dein Forum zu testen.
Ehemaliger Benutzername: [BTK] Tobi
Benutzeravatar
Talk19zehn
Ehemaliges Teammitglied
Beiträge: 4909
Registriert: 08.06.2009 12:03
Kontaktdaten:

Re: [BETA] Content Security Policy

Beitrag von Talk19zehn »

Hi von [BTK] Tobi, das klingt ja gut. Der Downloadlink funktioniert in meinem Falle momentan leider nicht --> "Die Webseite kann nicht angezeigt werden".... :( . So etwas kommt vor. In der Zwischenzeit las ich deinen Bezug ...
https://de.wikipedia.org/wiki/Content_Security_Policy
Problem des klassischen Sicherheitskonzepts

Webseiten können aktive Inhalte beispielsweise in Form von JavaScript-Code enthalten. Wenn die Webbrowser diesen Code ausführen, erzwingen sie die Einhaltung der Same-Origin-Policy. Dies bedeutet, dass Code von einer Quelle nicht auf Inhalte einer anderen Quelle zugreifen darf. So darf beispielsweise der Code in der Webseite eines Angreifers nicht auf die Elemente einer Onlinebanking-Webseite zugreifen.

In der Praxis sind jedoch Cross-Site-Scripting-Schwachstellen sehr verbreitet, wodurch die Same-Origin-Policy ausgehebelt wird. Eine Cross-Site-Scripting-Schwachstelle entsteht, wenn sich eine Webseite durch fehlerhafte Maskierung Code unterschieben lässt. Aus Sicht des Browsers kommt dieser untergeschobene Code aus der gleichen Quelle wie die angegriffene Webseite.
Wie wird das Prozedere in der EXT realisiert? Und welche Browsereinstellungen sind deiner Meinung entsprechend deinem Konzept sodann empfehlenswert bzw. werden wie berücksichtigt? Wie passt sich das Ganze an die Forumswelt :wink: an? Ist ja ein spannendes Thema (meiner Auffassung nach)!

LG
Beste Grüße
phpBB3 Designs: Stylearea Ongray-Designs
Benutzeravatar
tas2580
Ehemaliges Teammitglied
Beiträge: 3029
Registriert: 01.07.2004 05:42
Wohnort: /home/tas2580
Kontaktdaten:

Re: [BETA] Content Security Policy

Beitrag von tas2580 »

Talk19zehn hat geschrieben:Hi von [BTK] Tobi, das klingt ja gut. Der Downloadlink funktioniert in meinem Falle momentan leider nicht --> "Die Webseite kann nicht angezeigt werden".... :( . So etwas kommt vor.
Stimmt irgendwas ist schon wieder bei Github kaputt, meine Seite liest dort keine Daten aus, der Download funktioniert bei mir aber.
Talk19zehn hat geschrieben:Wie wird das Prozedere in der EXT realisiert?
Der Server sendet einen HTTP Header in dem die Policy steht. Wenn der Browser damit umgehen kann (tun alle modernen Browser) unterbindet er das Einbinden von nicht erlaubten Ressourcen. Du kannst also z.B. angeben von wo aus externe JavaScripts oder Bilder eingebunden werden dürfen. Außerdem kannst du z.B. inline Styles oder Scripte verbieten.
Normalerweise sollte man für JavaScripts, CSS und Bilder 'self' zulassen, wenn man aber statische Ressourcen auf eine cookielose Subdomain oder ein CDN auslagert um die Performance der Seite zu steigern kann man 'self' verbieten und nur das CDN/die Subdomain zulassen. Durch die Content Security Policy wird sicher gestellt das wirklich nichts mehr von der eigentlichen Domain kommt.
Wenn man seltsame Mods/Extensions einbaut die es einem Benutzer erlauben irgendwie eigenen Code einzuschleusen wird das durch die Content Security Policy unterbunden. Oder man kann Bilder nur von HTTPS Seiten zulassen was sinnvoll ist wenn man selber HTTPS verwendet. Falls jemand die Seite hackt und heimlich irgendwelche JavaScripts einbindet werden die blockiert.

Eine gute Policy zu finden ist nicht ganz einfach und das ganze ist auch nur sinnvoll wenn man mit externen Ressourcen sparsam ist. Wer sein Forum mit Facebook Buttons, Adsense und sonstigem Zeug zuballert wird damit nichts anfangen können da es dann fast nicht mehr möglich ist eine gute Policy zu erstellen. Wenn man aber wie mein Blog z.B. komplett auf externe Ressourcen verzichtet um sich keine Gedanken über Datenschutz machen zu müssen kann das durch die Content Security Policy nochmal sicherstellen.

Gruß Tobi
Heute ist ein guter Tag um dein Forum zu testen.
Ehemaliger Benutzername: [BTK] Tobi
Benutzeravatar
tas2580
Ehemaliges Teammitglied
Beiträge: 3029
Registriert: 01.07.2004 05:42
Wohnort: /home/tas2580
Kontaktdaten:

Re: [ABD] Content Security Policy

Beitrag von tas2580 »

Da ich mich in der nächsten Zeit nicht mehr um die Entwicklung meiner Extensions kümmern kann habe ich die Entwicklung der Extension eingestellt. Von mir wird es in absehbarer Zeit keine Updates und auch nur noch sehr eingeschränkten Support geben.

Falls jemand anderes hier weiter machen möchte kann er das gerne tun.

Gruß Tobi
Heute ist ein guter Tag um dein Forum zu testen.
Ehemaliger Benutzername: [BTK] Tobi
Benutzeravatar
Wolkenbruch
Mitglied
Beiträge: 517
Registriert: 04.11.2010 16:56
Kontaktdaten:

Re: [ABD] Content Security Policy

Beitrag von Wolkenbruch »

Ich wollte einfach kurz fragen, ob sich in der Zwischenzeit jemand dieser Erweiterung angenommen hat oder ob es bei phpBB 3.3.5 keinen Sinn mehr macht?

Wenn ich darauf teste, erhalte ich folgendes Ergebnis: Content Security Policy: implementiert, aber mit Fehlern (Ohne eingebaute Erweiterung)

Wünsche allen ein schönes Wochenende und bleibt gesund ;-)
Kolumbien Freunde treffen sich im » Kolumbienforum «
Verschoben von Extensions in Entwicklung nach ABD Extensions am 21.09.2023 18:34 durch LukeWCS

Gesperrt

Zurück zu „ABD Extensions“