Hello,
J’aurais une demande d’amélioration toute simple : j’ai sécurisé les accès externe avec le proxy des DNS de cloudflare, et du coup, j’ai systématiquement une erreur CSP :
Impossible de charger la ressource "https://static.cloudflareinsights.com/beacon.min.js/xxxxxxx", car elle va contre la directive de Content Security Policy :
"script-src-elem 'self' 'unsafe-inline' 'unsafe-eval' *.google.com *.google.fr *.openstreetmap.org"
J’ai juste a ajouter *.cloudflareinsights.com aux différentes CSP du fichier
/etc/apache2/conf-available/security.conf
Mais comme ca saute à chaque mise à jour, et que Cloudflare est quand même un service mondialement connu, je me disais qu’il pourrait être sympa de l’ajouter dans les exceptions CSP
Si, car le proxy de Coudflare ajoute un script à la volée pour récupérer les statistiques. Et ce script utilise cloudflareinsights.com qui est naturellement bloqué par la CSP script-elem-src (de mémoire).
EDIT : c’est utilisé par la fonctionnalité Cloudflare Web Analytics si tu l’as activé. Ce qui est mon cas
Après non, il n’y a pas besoin pour que jeedom ca fonctionne, mais tu n’auras pas toutes les stats, et surtout, jeedom affiche un joli message d’avertissement dans le triangle en haut a droite. Pas terrible
Moi aussi, notamment au taf.
Web Analytics est activé sur tout le domaine de la maison, pas que pour jeedom.
Et je l’utilise pour surveiller les connections, les stats de performances, etc…
C’est vrai que je pourrais aussi le faire depuis Graylog, mais l’interface de CL est plutot bien faite, et comme ca je vois aussi ce que bloque CF, et qui n’arrive donc pas jusqu’a mes serveurs.
Soit…si tu veux (même si de mon point de vue, analyser c’est aussi sécuriser, mais je vais pas chipoter).
Mais ca ne change pas grand chose à ma demande : est-ce qu’on pourrait pas autoriser cloudflareinsight, en plus de google et openstreetmap ?
Bonjour
J’ai suivi la conversation et je ne suis pas pour. Cloudflare permet d’héberger des scripts personnalisés en ajoutant le domaine cloudflare je ne sais pas ce que j’ajoute et potentiellement des scripts personnalisés ce qui reviendrait à tout ouvrir.
Bonjour Loic,
Ok, effectivement ca peut se comprendre. Mais je ne pense pas que ce soit aussi critique que tu ne le dis.
A vérifier, mais pour moi, static.cloudflareinsights.com ne permet pas l’execution de scripts perso et est uniquement utilisé par CloudFlare. Et quand bien même, ca ne permettrait que d’executer des script sur son propre domaine, et pas celui des autres
Il n’y a donc pas plus de risque que d’autoriser google.com par ex
Mais je vais pas insister, si ca n’intéresse que moi, je vais continuer a modifier les CSP après chaque MAJ.
Merci à vous de m’avoir répondu en tout cas
Tiens, du coup, j’ai jeté un oeil sur la config des CSP d’origine, et il y a des points d’attention non négligeables selon moi : 'unsafe-inline' et 'unsafe-eval' qui permettent beaucoup de choses
img-src ‹ self › * data:; permet de l’exfiltration de cookies par ex frame-src trop permissif
Loic : je t’invite a faire une analyse des CSP de jeedom par chatGPT ou autre : je pense qu’il y aurait des choses à améliorer.
ce n’est absolument pas de l’analyse de la sécurité! ca ne va rien apporter du tout
c’est quoi du web analytics? ca sert à analyser le comportement de tes utilisateurs, ce qu’ils font sur ton site, analyser les perfs etc
bref, je laisse tomber, ca n’a aucun intérêt sur une app privé comme jeedom ou tu es le seul à l’utiliser;
je répondais initialement pour la partie sécu.
et perso je suis aussi d’avis de ne pas ouvrir par défaut les csp à ce genre de comportement, c’est justement ce qu’on ne veut pas avec jeedom: on ne veut pas être tracé par n’importe quoi et n’importe qui.
Bonjour
Il est toujours possible de tout améliorer malheureusement quand je vais trop loin les utilisateurs ralent. En l’occurrence ce que tu remontes était bien corrigé dans la version initiale mais j’ai eu beaucoup de plaintes comme quoi ça bloqué trop de truc tierce j’ai donc du lâcher du mou.
Donc je suis d’accord ça pas parfait on peut faire mieux mais là c’est toujours mieux que rien
