Analyse der CSP-Berichte

    Hallo,


    ich habe mal eine Verständnisfrage zur Content Security Policy:

    Ich lasse verschiedene Seiten analysieren und mir die CSP-Berichte per Email zusenden.


    1. Nun ist es ja so, dass anfangs oft externe Dienstleister geblockt werden. Entsprechend wird das in der Analyse auch angezeigt. Beispielsweise:

    Violated Directive: img-src

    Blocked Domain: https://gstatic.com

    Diese kann ich dann nach Bedarf "freigeben" (im Plugin).


    2. Teilweise hatte ich bestimmte Direktiven gar nicht angelegt wie beispielsweise prefetch-src. Auch da erhalte ich dann den entsprechenden Bericht:

    Violated Directive: prefetch-src

    Blockend Domain: https:// ........

    Dafür erstelle ich dann auch bei Bedarf den nötigen Eintrag im Plugin.


    3. Wie aber kommt folgendes zustande:

    Violated Directive: default-src
    Blocked Domain: https:// .... (hierbei geht es um einen "Cookie-Hinweis"-Dienstleister)

    Warum wird mir keine konkrete verletzte Direktive angezeigt (wie unter 2 angegeben)? Dieses default-src ist doch eigentlich nur so etwas wie ein Fallback. Worin liegt der Unterschied?

    Es kommt beim CSP-Report ein bisschen auf den Header und auf den Browser drauf an:

    Manche Browser kennen nicht jede direktive und senden dann den "Standardfall", auch kann es sein, dass manche Browser nur das reporten was du selbst in deinem Header mit angibst. Wenn die "Violation" nicht im Header ist, wird sie auch nicht explizit reported und es geht auf den Standardfall zurück.

    Ok! Mit dem unterschiedlichen Browserverhalten kann ich mir das dann erklären. Ich habe gerade mal ein wenig gegoogelt. Das ist bei manchen Direktiven wirklich sehr unterschiedlich.

    Lohnt sich dann doch, die CSP-Berichte über einen längeren Zeitraum erstellen zu lassen, oder gar permanent aktiviert zu halten.

    Zitat von JoomlaWunder

    Lohnt sich dann doch, die CSP-Berichte über einen längeren Zeitraum erstellen zu lassen, oder gar permanent aktiviert zu halten.

    Ich würde sagen nein sobald dein CSP läuft und funktioniert schalte das Reporting ab. Meine Ignore List in meinem CSP Script auf joomla.org ist auf über 2.000 Zeilen angewachsen und am Ende habe ich auch ganze Top Level Domains ignoriert.


    Alle Reports die du bekommst sind Meldungen über "das wurde gerade geblockt" und solange deine Seite läuft bist du auf der guten Seite. In 99% der Fälle macht der Browser bzw. die Browser Plugins gerade irgendwelche komischen Sachen auf die du eh keinen Einfluss hast. Die Liste von David ist eine gute Referenz falls du Reports bekommst die du dir nicht erklären kannst. :)

    Zitat von zero24

    Die Liste von David ist eine gute Referenz falls du Reports bekommst die du dir nicht erklären kannst. :)

    Teilweise werden Bilder von irgendwelchen "Smart Marketing Assistants" für soziale Medien geblockt (img-src). Keine Ahnung, was die da auf meinen Seiten wollen und was es mit diesen Bildern so auf sich hat.


    Aber es ist schon interessant, wenn man mal wieder seine Drittanbieter-Erweiterungen im Backend durchklickt, was da dann so alles fehlt (Icons) oder welche Statistiken nicht mehr gesendet werden, von denen man gar nicht wusste, dass es sie überhaupt gibt. Nun gut, meist lassen sich die aber auch an etwas versteckter Stelle deaktivieren. (man muss nur suchen)

    Gibt auch "Sicherheits" Browser Plugins (Kaspersky) welche einfach mal den CSP manipulieren damit sie doch ihre Sachen laden können, also vertraue keiner Browser Erweiterung. :D