[ABD] Content Security Policy

In diesem Forum können Extension-Autoren ihre Extensions vorstellen, die sich noch im Entwicklungsstatus befinden. Der Einbau in Foren im produktiven Betrieb wird nicht empfohlen.
Benutzeravatar
tas2580
Ehemaliger
Beiträge: 2803
Registriert: 01.07.2004 05:42
Wohnort: /home/tas2580
Kontaktdaten:

[ABD] Content Security Policy

Beitragvon tas2580 » 18.12.2014 01:42

Titel: Content Security Policy
Version: 0.1.0
phpBB-Version: 3.1.*
Language: de
Style: all
Download: https://tas2580.net/downloads/phpbb-con ... ty-policy/
Github: https://github.com/tas2580/contentsecurety

Beschreibung:
Die Extension ermöglicht es einen Content Security Policy Header zu senden. So kann falls der Browser es unterstützt festgelegt werden von wo und wie Ressourcen eingebunden werden dürfen. Alle Ressourcen die laut Policy nicht zugelassen sind werden vom Browser blockiert. So kann XSS verhindert werden.
Beachte das Falsche Einstellungen das Forum unbrauchbar machen können!
Zuletzt geändert von tas2580 am 03.10.2015 01:39, insgesamt 2-mal geändert.
Heute ist ein guter Tag um dein Forum zu testen.
Ehemaliger Benutzername: [BTK] Tobi

Talk19zehn
Ehemaliger
Beiträge: 4287
Registriert: 08.06.2009 12:03

Re: [BETA] Content Security Policy

Beitragvon Talk19zehn » 20.12.2014 22:58

Hi von [BTK] Tobi, das klingt ja gut. Der Downloadlink funktioniert in meinem Falle momentan leider nicht --> "Die Webseite kann nicht angezeigt werden".... :( . So etwas kommt vor. In der Zwischenzeit las ich deinen Bezug ...

https://de.wikipedia.org/wiki/Content_Security_Policy
Problem des klassischen Sicherheitskonzepts

Webseiten können aktive Inhalte beispielsweise in Form von JavaScript-Code enthalten. Wenn die Webbrowser diesen Code ausführen, erzwingen sie die Einhaltung der Same-Origin-Policy. Dies bedeutet, dass Code von einer Quelle nicht auf Inhalte einer anderen Quelle zugreifen darf. So darf beispielsweise der Code in der Webseite eines Angreifers nicht auf die Elemente einer Onlinebanking-Webseite zugreifen.

In der Praxis sind jedoch Cross-Site-Scripting-Schwachstellen sehr verbreitet, wodurch die Same-Origin-Policy ausgehebelt wird. Eine Cross-Site-Scripting-Schwachstelle entsteht, wenn sich eine Webseite durch fehlerhafte Maskierung Code unterschieben lässt. Aus Sicht des Browsers kommt dieser untergeschobene Code aus der gleichen Quelle wie die angegriffene Webseite.


Wie wird das Prozedere in der EXT realisiert? Und welche Browsereinstellungen sind deiner Meinung entsprechend deinem Konzept sodann empfehlenswert bzw. werden wie berücksichtigt? Wie passt sich das Ganze an die Forumswelt :wink: an? Ist ja ein spannendes Thema (meiner Auffassung nach)!

LG
Angaben ohne Gewähr, da von zahlreichen Komponenten abhängig. 8)

Benutzeravatar
tas2580
Ehemaliger
Beiträge: 2803
Registriert: 01.07.2004 05:42
Wohnort: /home/tas2580
Kontaktdaten:

Re: [BETA] Content Security Policy

Beitragvon tas2580 » 20.12.2014 23:41

Talk19zehn hat geschrieben:Hi von [BTK] Tobi, das klingt ja gut. Der Downloadlink funktioniert in meinem Falle momentan leider nicht --> "Die Webseite kann nicht angezeigt werden".... :( . So etwas kommt vor.

Stimmt irgendwas ist schon wieder bei Github kaputt, meine Seite liest dort keine Daten aus, der Download funktioniert bei mir aber.

Talk19zehn hat geschrieben:Wie wird das Prozedere in der EXT realisiert?

Der Server sendet einen HTTP Header in dem die Policy steht. Wenn der Browser damit umgehen kann (tun alle modernen Browser) unterbindet er das Einbinden von nicht erlaubten Ressourcen. Du kannst also z.B. angeben von wo aus externe JavaScripts oder Bilder eingebunden werden dürfen. Außerdem kannst du z.B. inline Styles oder Scripte verbieten.
Normalerweise sollte man für JavaScripts, CSS und Bilder 'self' zulassen, wenn man aber statische Ressourcen auf eine cookielose Subdomain oder ein CDN auslagert um die Performance der Seite zu steigern kann man 'self' verbieten und nur das CDN/die Subdomain zulassen. Durch die Content Security Policy wird sicher gestellt das wirklich nichts mehr von der eigentlichen Domain kommt.
Wenn man seltsame Mods/Extensions einbaut die es einem Benutzer erlauben irgendwie eigenen Code einzuschleusen wird das durch die Content Security Policy unterbunden. Oder man kann Bilder nur von HTTPS Seiten zulassen was sinnvoll ist wenn man selber HTTPS verwendet. Falls jemand die Seite hackt und heimlich irgendwelche JavaScripts einbindet werden die blockiert.

Eine gute Policy zu finden ist nicht ganz einfach und das ganze ist auch nur sinnvoll wenn man mit externen Ressourcen sparsam ist. Wer sein Forum mit Facebook Buttons, Adsense und sonstigem Zeug zuballert wird damit nichts anfangen können da es dann fast nicht mehr möglich ist eine gute Policy zu erstellen. Wenn man aber wie mein Blog z.B. komplett auf externe Ressourcen verzichtet um sich keine Gedanken über Datenschutz machen zu müssen kann das durch die Content Security Policy nochmal sicherstellen.

Gruß Tobi
Heute ist ein guter Tag um dein Forum zu testen.
Ehemaliger Benutzername: [BTK] Tobi

Benutzeravatar
tas2580
Ehemaliger
Beiträge: 2803
Registriert: 01.07.2004 05:42
Wohnort: /home/tas2580
Kontaktdaten:

Re: [ABD] Content Security Policy

Beitragvon tas2580 » 01.06.2017 03:14

Da ich mich in der nächsten Zeit nicht mehr um die Entwicklung meiner Extensions kümmern kann habe ich die Entwicklung der Extension eingestellt. Von mir wird es in absehbarer Zeit keine Updates und auch nur noch sehr eingeschränkten Support geben.

Falls jemand anderes hier weiter machen möchte kann er das gerne tun.

Gruß Tobi
Heute ist ein guter Tag um dein Forum zu testen.
Ehemaliger Benutzername: [BTK] Tobi


Zurück zu „Extensions in Entwicklung“