Logo mark Archiwum

Nagłówki HTTP w panelu

Rozwiązane
nagrodzone, panel-lvlup-pro, www-lvlup-pro
Axerr
Axerr

Dzień dobry,

Zauważyłem, że panel nie wysyła kluczowych nagłówków bezpieczeństwa, m.in.:

  • HSTS (HTTP Strict Transport Security) -- nagłowek odpowiadający za informowanie przeglądarki, że do daty wyrażonej w sekundach od teraz, powinna łączyć tylko i wyłącznie się po protokole HTTPS;
  • CSP (Content Security Policy) -- nagłówek, który z góry narzuca przeglądarce, z jakich źródeł może pobierać zasoby (np. fonty, cssy, skrypty javascript itd.), co znacznie utrudnia atak typu XSS.

Włączenie HSTS to kwestia przełączenia jednego przełącznika w Cloudflare z którego lvlup.pro zresztą korzysta.

Dodanie CSP może być nieco bardziej złożone, w zależności z jakich zasobów zewnętrznych korzysta lvlup.pro i dodanie domen do dozwolonych list lub przeniesienie ich na domenę lvlup.pro

Serdecznie życzę miłego dnia, Axerr :)

Axerr
Axerr

Wyżej wymieniłem jedynie te najistotniejsze. Istnieją jeszcze takie jak:

  • X-Frame-Options -- można łatwo zablokować atak typu clickjacking, ktory może być bardzo niebezpieczny!
  • Referer-Policy -- można ustawić blokowanie wysyłanie nagłowka referer przy kliknięciu w link. To bardziej do wdrozenia (jeżeli jeszcze nie zostało wdrożone) dla panelu administracyjnego ticketów obsługi lvlup, żeby nie zdradzać adresu systemu ticketów, gdy obsługa otworzy (złośliwego?) linka, który taki Referer zapisuje.
  • X-XSS-Protection -- przeglądarki mają wbudowany system wykrywania XSS. Jeżeli wykryją taki atak to skrypt zostanie zablokowany automatycznie przez przeglądarkę, jednak nagłówek musi być wysłany, żeby opcja została aktywowana.
SystemZ
SystemZ Admin lvlup.pro

Hej, dzięki za sugestie.

Z tej całej listy z tego co pamiętam konfigurowałem przynajmniej X-Frame-Options ale z tego co widzę nie jest on obecnie wysyłany do usera :thonking: Możliwe, że jakaś po drodze wprowadzona zmiana go wycina. Przyjrzę się temu.

SystemZ
SystemZ Admin lvlup.pro

Przy okazji ostatniej aktualizacji:

https://lvlup.rok.ovh/t/dziennik-zmian-lvlup-pro-2022/20367/#44?u=systemz

naprawiłem:

  • X-Frame-Options
  • Content-Security-Policy z wartością "frame-ancestors 'none'"

Okazało się, że wkleiłem je nie w tą sekcję konfiguracji serwera http co trzeba :man_facepalming:

Oznaczam wątek jako rozwiązany gdyż obecnie jest już okej, ale może przy okazji spróbuję wprowadzić jeszcze inne nagłówki o których wspominałeś więc daję długi czas do zamknięcia.