12
Nov 22

Notizen zur Content Security Policy (CSP)

Vor einer Weile stolperte ich über Webbkoll, ein Tool der schwedischen NGO Dataskydd.net, mit dem man die Performance einer Webseite bzgl. Datenschutz und Datensicherheit prüfen kann1. Kann ja nicht schaden, dachte ich mir so - prüfte und stellte fest, das ich noch einiges verbessern konnte.

Wie man es halt gerne so macht, habe ich recht unbedarft sinnvoll klingende Content Security Policy Regeln in den Header und die .htaccess-Datei meines Blogs eingeführt. Danach war alles einigermaßen okay bewertet und ich war happy.

<Spongebob>Several months later</Spongebob>

Und dann stellte ich fest, dass es etwas zu sicher ist und ich die anderen Domains, die auf den Blog leiten vom Laden diverser Inhalte ausgeschlossen habe2.

Nun also auf in den Kampf. Oberflächlich betrachtet schien eine Freischaltung für die Domains geholfen zu haben. Ein Blick in die Developer-Konsole offenbart allerdings: da wird noch eine ganze Menge blockiert. Allerdings helfen die Fehlermeldungen in der Firefox-Konsole nicht wirklich weiter. Hier bietet Chrome ein paar mehr Infos:

Refused to apply inline style because it violates the following Content Security Policy directive

Die Verursacher sind gefunden: Inline-CSS bzw. -Scripte.

Und folgende Lösungen helfen gegen das Problem:

  • Aufweichen der Content Security Policy, und Hinzufügen von 'unsafe-inline' für script-src / style-src;
  • Hinzufügen von hash-Werten für jede Datei, die Inline-CSS oder JS ausführen darf;
  • Hinzufügen einem erlaubten Attributs ('nonce-'), welches in allen Inline-Elementen eingefügt wird;
  • oder alle Inline-Elemente auslagern in separate Dateien.

Da die CSP für frame-ancestors nicht über <meta> übermittelt werden kann, überlasse ich die CSP jetzt komplett der PHP-header()-Funktion:

header("Content-Security-Policy: default-src 'none'; [...] )

Aber so richtig klappt das nicht. Vllt. muss ich doch auf ein Plugin-Ausweichen, dass WordPress mit einer funktionierenden, besseren CSP ausstattet - und Multi-Domain-kompatibel ist.

  1. Googles CSP Evaluator ist auch ganz nützlich in dem Kontext []
  2. In gewisser weiße ironisch, dass netzgeschaedigt.de nur eine kaputte Version des Blogs anzeigte. []

24
Mrz 18

Ein ordentliches Zertifikat

Das war schon länger überfällig. Nun habe ich also endlich die passenden Zertifikate für meine aktiven Domains erstellt mit Hilfe von Let's Encrypt.

Dafür musste für mich als oller Windows-Nutzer erst mal eine funktionierende Linux-Maschine in der Virtuellen Box her. Und dann der Certbot. Zusammenbasteln des benötigten Befehls, sudo certbot --manual certonly, und nach einigen kleinen Hürden - Berechtigungen1 und angestaubtes Terminal-Wissen2 - landeten die benötigten Dateien dann tatsächlich in der Zertifikats-Administration von Hosteurope3. Juchuh.

Beim Verifizieren der Weblog-Domains scheiterte ich jedoch mit dem zu schnellen Griff nach Strg+C - sehr fatal im Terminal - und erinnerte mich an ein Script, dass ich wenige Minuten zuvor auf einer als "nicht meine Frage beantwortende"-Seite gesehen habe: hosteurope-letsencrypt von Sebastian Stein zu meiner Rettung.

Also schnell git installiert, das Repository geklont, die 3 Einstellungsdateien erzeugt, das Erzeugungspython-Script ausgeführt und die relevanten Dateien anschließend hochgeladen, Fertig.

Update: Okay, das war doch noch nicht alles. Mit Hilfe von Search & Replace mussten noch sämtliche URLs auf Bilder und andere Resourcen im Blog von http auf https geändert werden. Ich hoffe, ich habe jetzt alle erwischt.

 

  1. Wie kommt ein Nutzer noch mal in eine Gruppe? sudo usermod -a -G groupName userName []
  2. Wie kopiere ich nicht den symbolischen Link sondern die Datei dahinter? -L []
  3. Zertifikat : fullchain.pem, Key: privkey.pem []