Logo mark Archiwum

Nagłówki HTTP w panelu

Rozwiązane
nagrodzone, panel-lvlup-pro, www-lvlup-pro
Axerr
Axerr
4 lata temu

Dzień dobry,

Zauważyłem, że panel nie wysyła kluczowych nagłówków bezpieczeństwa, m.in.:

  • HSTS (HTTP Strict Transport Security) -- nagłowek odpowiadający za informowanie przeglądarki, że do daty wyrażonej w sekundach od teraz, powinna łączyć tylko i wyłącznie się po protokole HTTPS;
  • CSP (Content Security Policy) -- nagłówek, który z góry narzuca przeglądarce, z jakich źródeł może pobierać zasoby (np. fonty, cssy, skrypty javascript itd.), co znacznie utrudnia atak typu XSS.

Włączenie HSTS to kwestia przełączenia jednego przełącznika w Cloudflare z którego lvlup.pro zresztą korzysta.

Dodanie CSP może być nieco bardziej złożone, w zależności z jakich zasobów zewnętrznych korzysta lvlup.pro i dodanie domen do dozwolonych list lub przeniesienie ich na domenę lvlup.pro

Serdecznie życzę miłego dnia, Axerr :)

Axerr
Axerr
4 lata temu

Wyżej wymieniłem jedynie te najistotniejsze. Istnieją jeszcze takie jak:

  • X-Frame-Options -- można łatwo zablokować atak typu clickjacking, ktory może być bardzo niebezpieczny!
  • Referer-Policy -- można ustawić blokowanie wysyłanie nagłowka referer przy kliknięciu w link. To bardziej do wdrozenia (jeżeli jeszcze nie zostało wdrożone) dla panelu administracyjnego ticketów obsługi lvlup, żeby nie zdradzać adresu systemu ticketów, gdy obsługa otworzy (złośliwego?) linka, który taki Referer zapisuje.
  • X-XSS-Protection -- przeglądarki mają wbudowany system wykrywania XSS. Jeżeli wykryją taki atak to skrypt zostanie zablokowany automatycznie przez przeglądarkę, jednak nagłówek musi być wysłany, żeby opcja została aktywowana.
SystemZ
SystemZ Admin lvlup.pro
4 lata temu

Hej, dzięki za sugestie.

Z tej całej listy z tego co pamiętam konfigurowałem przynajmniej X-Frame-Options ale z tego co widzę nie jest on obecnie wysyłany do usera :thonking: Możliwe, że jakaś po drodze wprowadzona zmiana go wycina. Przyjrzę się temu.

SystemZ
SystemZ Admin lvlup.pro
4 lata temu

Przy okazji ostatniej aktualizacji:

https://lvlup.rok.ovh/t/dziennik-zmian-lvlup-pro-2022/20367/#44?u=systemz

naprawiłem:

  • X-Frame-Options
  • Content-Security-Policy z wartością "frame-ancestors 'none'"

Okazało się, że wkleiłem je nie w tą sekcję konfiguracji serwera http co trzeba :man_facepalming:

Oznaczam wątek jako rozwiązany gdyż obecnie jest już okej, ale może przy okazji spróbuję wprowadzić jeszcze inne nagłówki o których wspominałeś więc daję długi czas do zamknięcia.