Security Professionals - ipfw add deny all from eindgebruikers to any

Met CSP in je vingers snijden

25-03-2019, 09:52 door Bitwiper, 3 reacties
Als security-professionals horen wij m.i. ook te helpen voorkomen dat beveiliging doorschiet (zie ook mijn bijdragen in https://www.security.nl/posting/602663/Logius+werkt+aan+plan+voor+vervangen+PKIoverheid-certificaten).

Vanochtend bezocht ik, zoals gewoonlijk met Firefox, https://isc.sans.edu/. Tot mijn verbazing zag ik aan de rechterkant de volgende (deels afgedekte, maar wel naar kladblok kopieerbare) tekst:
Blocked by Content Security Policy

This page has a content security policy that prevents it from being loaded in this way.

Firefox prevented this page from loading in this way because the page has a content security policy that disallows it.

De Chrome en Edge browsers laten die kolom simpelweg leeg, maar MSIE (die regels aan z'n laars lapt) laat wel wat zien, namelijk de inhoud van https://www.sans.org/banners/isc_ss.php.

De oorzaak van dit gedrag lijkt de volgende http header in de main page van https://isc.sans.edu/:
Permitted-Cross-Domain-Policies: none
gecombineerd met de volgende html code in de main page:
<iframe src="https://www.sans.org/banners/isc_ss.php" scrolling="no" marginheight="0" marginwidth="0" width="160" height="600" frameborder="0"></iframe>

Ik heb nog maar heel weinig ervaring met dit soort headers, als ik iets verkeerd begrijp (en/of beschrijf) hoor ik dat graag!

Ik laat hierover ook een berichtje achter in het contactformulier in https://isc.sans.edu/contact.html.
Reacties (3)
25-03-2019, 11:43 door Anoniem
Ik heb zelf slechts sporadische ervaring met CSP, maar van wat ik lees is het prima mogelijk om ook andere subdomains van hetzelfde domain toe te staan. https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

Is dit een geval van doorgeschoten beveiliging, of gewoon van een verkeerde configuratie? En is de insteek van je post dat CSP als geheel een slecht idee is, of dat dit specifieke voorbeeld een voorbeeld is van doorgeschoten beveiliging?

Als security professionals horen we namelijk IMHO ook ambassadeurs te zijn van een degelijke beveiliging, en ik vind het een beetje eng om dan a priori adviezen te geven over dat bepaalde beveiligingslagen niet nodig of overdreven zijn. Er zijn namelijk goede redenen om CSP in te stellen, en het advies zou naar mijn mening met klem niet moeten zijn om CSP maar helemaal uit te zetten.
25-03-2019, 13:35 door Bitwiper
Door Anoniem: Is dit een geval van doorgeschoten beveiliging, of gewoon van een verkeerde configuratie? En is de insteek van je post dat CSP als geheel een slecht idee is, of dat dit specifieke voorbeeld een voorbeeld is van doorgeschoten beveiliging?
Ik neem aan dat het om een configuratiefout gaat. Ik ging er wellicht te makkelijk van uit dat lezers zouden begrijpen dat ik niet tegen beveiligingsmaatregelen ben; integendeel!

Helaas gaat er, ook bij beveiligen, heel veel mis. Als je beveiligt, doe het dan ook goed en test grondig of er gebeurt wat de bedoeling is, en ook of er niet gebeurt wat niet de bedoeling is!
25-03-2019, 14:26 door Anoniem
Door Bitwiper:
Door Anoniem: Is dit een geval van doorgeschoten beveiliging, of gewoon van een verkeerde configuratie? En is de insteek van je post dat CSP als geheel een slecht idee is, of dat dit specifieke voorbeeld een voorbeeld is van doorgeschoten beveiliging?
Ik neem aan dat het om een configuratiefout gaat. Ik ging er wellicht te makkelijk van uit dat lezers zouden begrijpen dat ik niet tegen beveiligingsmaatregelen ben; integendeel!

Helaas gaat er, ook bij beveiligen, heel veel mis. Als je beveiligt, doe het dan ook goed en test grondig of er gebeurt wat de bedoeling is, en ook of er niet gebeurt wat niet de bedoeling is!
En hier ben ik het volmondig mee eens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.