Contenido-Política de seguridad-Entradas sospechosas en el registro

Navega tus respuestas
2

He configurado el encabezado Content-Security-Policy-Report-Only, y estoy en report-uri obteniendo un número relativamente alto (varios cientos por mes) de solicitudes fallidas en img-src para URL sospechosas: 

https://netanalytics.xyz/metric/
https://netanalitics.space/metric/
https://glganltcs.space

también hay algunos que parecen aún más pirateados: 

script-src on https://etgfsiwxsbxr.ru/d6safundjenk6af/29915.js
connect-src on http://gj.track.uc.cn/collect
¿

e incluso algunos supuestos accesos de estilo para las fuentes ?! 

{
    "csp-report": {
        "blocked-uri": "https://fonts.googleapis.com",
        "document-uri": "https://biciklijade.com/",
        "original-policy": "default-src 'none'; manifest-src https://biciklijade.com; script-src https://biciklijade.com; style-src https://biciklijade.com; connect-src https://biciklijade.com; form-action https://biciklijade.com; img-src https://biciklijade.com https://*.tile.openstreetmap.org https://*.tile.osm.org data:; report-uri https://biciklijade.report-uri.com/r/d/csp/reportOnly",
        "violated-directive": "style-src"
    }
}

Tenga en cuenta que, como máximo, especifico CSS body { font: 16px/21px Arial, "Helvetica Neue", Helvetica, sans-serif; } sin haber especificado nunca src para descargar fuentes de google (o de cualquier otra persona), por lo que los navegadores IMHO nunca deberían conectarse a google para obtenerlos, ¿no?

He revisado el código y las bases de datos para asegurarme de que no se hayan resquebrajado y que todos se vean bien. El hecho de que se navegue el sitio desde Firefox y Chromium con la consola de desarrollador abierta tampoco parece provocar ninguna violación de CSP. La mayoría del sitio está hecho a mano y no se supone que esté utilizando ningún análisis.

Pregunta 1: ¿Alguno de esos le parece legítimo? Ellos no lo hacen conmigo; y me gustaría mover el CSP de solo informes a bloqueos reales

Pregunta 2: Si esos son accesos no legítimos, ¿es posible que todos provengan de clientes crackeados, en lugar de sitios web infectados? Ya lo he comprobado, y el sitio web parece estar limpio, pero me gustaría tener algunas garantías de que otras personas también están viendo cosas como esas

    
pregunta Matija Nalis 24.05.2018 - 02:54
fuente

1 respuesta

1
  

Pregunta 1: ¿Alguno de esos le parece legítimo?

Sí, parecen legítimos. Hay muchas posibilidades de que se deban a algunos complementos del navegador. Algunos complementos inyectan código en el dominio que resultará en estas violaciones.
Podría ser posible que sus usuarios usen tales complementos. (Personalmente, encontré que estos complementos son bastante comunes y utilizados por muchos)

  

Me gustaría mover el CSP de solo informes al bloqueo real

Eso sería genial. Sin embargo, debe evaluar todos los escenarios y una acción apropiada en el lugar en caso de que realmente esté sucediendo debido a su código. (O bien, el recurso se bloqueará y el sitio ya no podrá utilizarse)

  • Sugiero probar todas las páginas y en varios navegadores antes de cambiar al modo de bloqueo.
  • Además, sería genial si el modo se puede cambiar sin mucho esfuerzo. Quiero decir, si el tiempo de ejecución tiene un problema, entonces debería poder hacerlo con un tiempo de inactividad insignificante.
  

Pregunta 2: Si esos son accesos no legítimos, ¿es posible que todos provengan de clientes crackeados, en lugar de sitios web infectados?

No tengo mucha experiencia en esta parte.

En una nota al margen, puede explorar la posibilidad de dar soporte solo a aquellos clientes que son compatibles con CSP. Para otros, puede bloquear o simplemente mostrar un mensaje de error. (Nuevamente, esto es específico para su uso. Para revisar esta parte, puede recopilar los detalles del cliente durante las primeras semanas / meses y luego decidir si debe seguir dicha estrategia)

  

Lectura adicional

Descubrí que el blog de Dropbox es realmente útil para implementar una estrategia para filtrar los informes y pasar al bloqueo. Puede resultarle útil: Blog de Dropbox para CSP

    
respondido por el Procrastinator 24.05.2018 - 06:10
fuente

Lea otras preguntas en las etiquetas

¿Los EKU adicionales configurados en el certificado del cliente son un riesgo para la seguridad? ¿Cambiar la longitud del bit de intercambio de clave TLS Diffie-Hellman de 1024 a 2048 causará problemas de compatibilidad del cliente / navegador?