optimale CSP - wie kann ich ein Plugin zulassen?

Zitat von jof1

- Ich bekomme von dem Plugin keine Hilfe, was ich eintragen muss

Ist es denn hier nicht gut beschrieben?

https://github.com/zero-24/plg…der/blob/master/README.md

Zitat von jof1

- Note: If you have configured some HTTP Security Headers directly on the server, then this Plugin might create double entries.

(1) wenn ich das Plugin wieder lösche, sind alle Einträge von HttpHeader weg?

Ja. Wenn du die Einstellungen auch ohne das Plugin haben willst, musst du sie auf dem Server konfigurieren bzw. per .htaccess. Wie in der Pluginbeschreibung, die du zitierst, beschrieben, empfiehlt es sich, entweder das eine oder das andere zu machen, damit man keine doppelten Regeln bekommt.

Zitat von jof1

Unfassbar, wie so ein Plugin 4,5 von 5 Sternen erhalten kann .

Was ist das denn für ne Aussage? Versuch die Anleitung zu verstehen oder frag nach, wenn du was nicht verstehst. Aber erst mal das Plugin runtermachen, das ein sehr aktives Mitglied dieser Community in seiner Freizeit geschrieben hat und dir kostenlos zur Verfügung stellt, ist natürlich ne gute Alternative.

Zitat von jof1

Ich erstelle in 2 Minuten manuell einen CSP-Zeile in der .htaccess.

(2) Mein Problem ist nun, wie kann ich ein Plugin zulassen?

Bei einer optimalen CSP läuft das Plugin nicht mehr.

Ein paar mehr Informationen wären nicht schlecht. Wie sieht deine CSP-Konfiguration aus? Welches Plugin willst du zulassen? Was für ein Fehler kommt dabei (die Entwicklerkonsole von Firefox oder Chrome zeigt CSP-Fehler sehr detailliert an)? Und was verstehst du unter einer optimalen CSP?

Und wo sind deine Infos wie z.B.:

Zitat von Das Forenteam

• Gebt so viel Information bei wie möglich, bedenkt dass die Supporter nicht das sehen, was ihr vor euch seht.
• Joomla Version angeben
• Welche PHP- / MySQL Version?
• Gebt alle Angaben zu Versionen, Betriebssystemen, Erweiterungen, die ihr habt an
• Welche Erweiterungen und Templates sind installiert?
• Link zur Webseite bzw. Link zum Problem, nur so kann effektiv geholfen werden.

aus:

Forenregeln

und gib uns auch unter

System -> Systeminformationen -> Als Text herunterladen

die txt-Datei mit den Systeminformationen.

Zitat von jof1

ch verstehe deinen Unmut, aber nicht alles gut gemeinte ist gut. Naja, lassen wir das.

Das hat weder etwas mit Unmut zutun, ich finde es schade das man etwas zuallererst öffentlichen ruter macht ohne auch nur eine der kostenfreien Möglichkeiten zu nutzen Hilfe zu bekommen. Ich versuche mal mein Glück etwas Feedback zu geben.

Zitat von jof1

Es ist ein Plugin, das ein pop-up bringt, welches ist egal, geht keinen was an und ist normal als Plugin installiert.

Meine Zeile in der .htaccess bringt dann schließlich ein A+ bei observatory.mozilla.org, jedoch geht das pop-up des Plugins nicht mehr auf, weil eben object-src 'self'; script-src 'self' das verhindern:

Vorschlag setze den Header auf report only dann werden die Fehler in der Browserconsole angezeigt.

Zitat von jof1

Header always set Content-Security-Policy "default-src https:; object-src 'self'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self'; base-uri 'self'; form-action 'self'"

Ich kenne nicht das genutzte Plugin für das popup aber diese Regel besagt u.a. folgendes:

objekte, scripte, bilder, css dürfen nur von der lokalen Seite gelanden werden. D.h. alles was von externen und inline geladen werden würde wird blockiert.

Der default-src greift nur falls eine Directive nicht explizit aufgeführt ist.

Mein Vorschlag, setze einmal diese Regel: content-security-policy-report-only: default-src 'self';

Damit wird erstmal alles freigegeben was von der eigenen Seite kommt.

Und nun wäre mein Vorgehen die Browserconsole anzusehen und nach und nach die Directiven (z.B. script-src) mit den domains zu füllen welche benötigt werden. Ich kann da besonders die Google Chrome Browserconsole empfehlen da die mMn am übersichtlichsten die Meldungen anzeigen.

Bei konkreten Fragen zum Thema wie die Meldungen zu interpretieren und in eine Regel umzusetzen sind melde dich gerne hier mit einem Screenshot der Chrome console.

Ein CSP ist idR sehr seitenspezifisch und bedarf etwas Zeit einzurichten.

Das Plugin ist gedacht für Leute die einen Header setzen wollen, und ja nicht nur den CSP Header. Es spricht aber auch nichts dagegen das direkt in der .htaccess zu konfigurieren aber bitte nicht beides gleichzeitig

Als Tipp es gibt auch noch diesen PHP CSP Reporter: https://github.com/zero-24/csp-reporter-php da werden dann alle Reportdetails als JSON via Mail geschickt.

report-uri /lokaler/pfad/zum/reporter.php wäre der Eintrag für den CSP.

Zitat von jof1

csp-reporter zeigt mir zwar z.B.

...

Violated Directive: script-src-elem

Blocked Domain: inline

Blocked Uri: inline

IP: inline

Alles anzeigen

Bei inline Sachen kann man in den Browser schauen da wird idR auch direkt der Hash angezeigt welche man freigeben kann. Mit Joomla 4 gibts dann auch dafür ein core tool. Ps. Nicht jeder Browser unterstützt script-src-elem daher kann es Sinn machen script-src und script-src-elm anzugreichen.

Zitat von jof1

Zudem muss es doch so sein, dass ich das zu vermeidende keyword 'unsafe-inline' verwenden kann, wenn

1. ich überhaupt CSP verwende

2. sich eine source nicht lokal in meinem Webroot-Filesystem befindet und nachgeladen werden muss, sonst würde ja das keyword 'self' reichen.

Es muss doch möglich sein diese Quelle direkt zu ermitteln.

Ich sehe zwar in der Browserconsole die fehlerhafte Zeile, aber die sagt mir rein gar nichts, das wird wohl sein.

'unsafe-inline' bedeutet hier das inline styles oder scripte auf der Seite direkt im HTML eingebunden werden. z.B. die "onClick", "onError", etc. handler und "<script>" in JS oder das "style" attribute bzw. "<style>" mit CSS.

Am besten kommt man ganz ohne diese Dinge aus wenn es unbedingt notwendig ist kann man diese per "hash" freigeben. Dieser wird im Chrome in der Fehlermeldung auch angezeigt.

Dieser Hash kann dann in der style-src bzw script-src freigeschaltet werden Beispiel: style-src 'self' 'sha256-JfYgjAb4XZJSe1AUBWfJhRKo9xfSpr5ledAcv2OYL3o='

'sha256-JfYgjAb4XZJSe1AUBWfJhRKo9xfSpr5ledAcv2OYL3o='

Zitat von jof1

Ich habe für nextcloud aber hunderte hash's einzutragen, die sich beim Quellcode-Wechsel auch noch ändern, was zeitlich schon fast unmöglich ist, außer einer schreibt ein script.

NextCloud != Joomla. Mein NextCloud setzt einen CSP Header mit nonce automatisch da muss ich kein script schreiben.

Zitat von jof1

Und da sind wir wieder beim httpheader plugin, ich hätte erwartet, dass das plugin das tut - so falsch lag ich also nicht.

Aber auch ich muss jetzt sagen, würde ich mir nicht antun !

Kann ich verstehen in 4.0 haben wir das auch genau das umgesetzt in in den Core integriert.

Also z.B. eine automatische Generierung der hashes und nonces und einen CSP reporter collector.

Zitat von jof1

(2) Ja, habe ich gelesen "This plugin has been included in the Joomla Core (joomla/joomla-cms#18301) and will be part of the upcomming 4.0 Release.".

Deswegen wollte ich jetzt schon mal rein schnuppern.

Richtig das Plugin ist ein Teil der Core Features. Zusätzlich kommt noch ein Reporting endpoint sowie eine Möglichkeit die reports zu prüfen und freizuschalten. Das Plugin wurde dann dahingehend erweitert aus den freigegebene reports einen CSP Header zu generieren.

Weitere Details gibts u.a. von mir auch hier:

- Zum 3.xer Plugin: https://www.hosteurope.de/blog…t-http-headern-schuetzen/

- Zum 4.xer Core (aktueller Zwischenstand): https://docs.joomla.org/J4.x:Http_Header_Management

- Auch wird aktuell dieses Feature für 4.x noch aktiv weiterentwickelt: https://github.com/joomla/joomla-cms/pull/32893

Getestet werden kann das bestehende Tooling bereits in the Nightly Builds: https://developer.joomla.org/nightly-builds.html

Zitat von jof1

Ich will ja keine Ansprüche stellen (tue ich aber damit trotzdem ), aber erwähne jetzt schon,

zero24, du kennst ja jetzt die Unterhaltung mit mir und den Anspruch von weniger geübten: bezüglich Header und CSP so viel wie überhaupt nur möglich automatisieren, denn nicht jeder hat Tage Zeit für übelst aufwendige Konfigurationen.

Automatismus steigert die Akzeptanz und den Wert eines Projektes enorm, ich bin jedenfalls riesig gespannt auf Joomla 4.0

Ja kann ich sehr gut verstehen. Es gibt zwei wichtige Punkte weshalb es von mir noch keinen Backport der 4.x Tools gibt. Und das sind die Zeit die ich nicht habe um das Thema für 3.x zurück zu portieren und auch das Thema das in 3.x einige Core Features nicht in dem Umfang zur Verfügung stehen wie Sie für eine gute Implementierung notwendig wären. U.a. wurde auch im 4.xer Core einiges getan von inline styles und vor allem inline scripts weg zu kommen oder zumindest über die einheitliche API einzubinden, das erleichtert die Implementierung eines Automatismus der dann auch möglichst viele Fälle abdeckt.