http header

    Man kann die CSP Funktion strict dynamic in dem plugin http header aktivieren. Sie wird aber falsch in den CSP header eingefügt. Dies sollte man zusammen mit den fehlenden nonce Werten korrigieren. Außerdem sollte man Optionen für SRI Subresource Integrity und HPKP public key pinning haben, was gerade bei https sinnvoll ist.

    Zitat von gopitzohlsen

    Man kann die CSP Funktion strict dynamic in dem plugin http header aktivieren. Sie wird aber falsch in den CSP header eingefügt. Dies sollte man zusammen mit den fehlenden nonce Werten korrigieren.

    Hi, was meinst du mit falsch? Für nonce gibt es eine option und in dem script-src option kannst du "{nonce}" (ohne die Anführungszeichen) einsetzen und zur Laufzeit wird der richtige nonce Wert gesetzt.


    Zitat von gopitzohlsen

    Außerdem sollte man Optionen für SRI Subresource Integrity

    Wie stellst du dir das vor? Es war mal auf der Agenda das zu prüfen aber du als Site Owner musst die hashes prüfen und setzen. Wenn wir das "bei jeden neuen aufrufen der Seite machen" bist du ja nicht gegen das Problem geschützt da dann immer der neue Hash genommen wird. d.h. du musst den hash statisch für jedes externe script etc setzen. Außer du hast eine Idee wie man das automatisieren kann dann immer her mit den Ideen.


    Zitat von gopitzohlsen

    HPKP public key pinning haben, was gerade bei https sinnvoll ist.


    Scheint aus allen aktuellen Browsern raus zu sein mit Expect-CT as alternative. Letztere ist als Header im Plugin hinterlegt und kann konfiguriert werden.

    Code
    Chrome unterstützt HPKP seit Oktober 2015 (Version 46),[3] hat es mit der Version 68 jedoch als „abgekündigt“ (deprecated) definiert und entfernte dessen Unterstützung mit der Version 72[4] wieder. Firefox unterstützte HPKP seit Januar 2015 (Version 35), entfernte die Unterstützung jedoch im Januar 2020 mit Version 72.[5] Safari und Edge unterstützten HPKP im Gegensatz zu Opera nicht.[6]

    HTTP Public Key Pinning – Wikipedia

    Ich meine die nonce Werte erscheinen nicht im HTTP Header. Dort sollten Sie aber stehen, genauso wie die Hash Werte. Hat man in der HTML Seite ein Script mit einem nonce Wert, z.B.

    Code
    <script nonce="2726c7f26c">  var inline = 1;
</script>

    dann sollte dieser nonce Wert auch im CSP HTTP Header stehen:

    Code
    script-src 'unsafe-inline' https: 'nonce-2726c7f26c' 'strict-dynamic';

    Danke zero 24. Diese Information hat mir gefehlt.

    Einmal editiert, zuletzt von Indigo66 () aus folgendem Grund: Ein Beitrag von gopitzohlsen mit diesem Beitrag zusammengefügt.

    Zitat von gopitzohlsen

    Ich meine die nonce Werte erscheinen nicht im HTTP Header. Dort sollten Sie aber stehen, genauso wie die Hash Werte. Hat man in der HTML Seite ein Script mit einem nonce Wert, z.B.

    Ja das meinte ich mit dem "{nonce}" placeholder, also nonce option aktivieren + placeholder in der script-src einbauen, das Plugin ersetzt dann den placeholder mit dem nonce wert. :)