Suite à un problème remonté par un membre du forum, j’ai constaté qu’il n’était pas possible d’afficher un flux RTSP (caméra Netatmo Presence) sur le dashboard. Ceci n’est pas systématique car dépend ou est installé Jeedom :
Ce topic est donc uniquement sur les règles d’utilisation des ces nouvelles règles de sécurité concernant le CSP (Content Security Policy).
Suite à une installation from scratch en 4.1 hier soir, voici la configuration en cours (si activé) :
Je pense qu’ajouter en standard les règles media-src et worker-src ne devrait pas poser de problème.
Par contre, la règle connect-src comporte l’URL de flux netatmo.net et je ne pense pas qu’on puisse l’installer par défaut.
Je ne suis pas un expert d’Apache et encore moins de ces nouvelles règles de sécurité concernant le CSP.
1/ Puis-je modifier un fichier .htaccess à l’intérieur de mon plugin pour que ces règles puissent être prise en compte ?
2/ Si impossible ou non fonctionnel, que peut-on faire (au plus simple) pour visualiser un flux de n’importe quelle caméra dont l’URL est externe à Jeedom ?
Bonjour,
En 4.2 dans la partie systeme il y a un bouton pour désactiver toute les règles de sécurités. A noter que je recommande de ne JAMAIS les désactiver car cela représente un risque grave et très sérieux au niveau de la sécurité de votre jeedom
Avant tout, il faut utiliser un Texte préformaté et pas une « Citation » pour copier du code! Cela transforme tout ton code et il en devient illisible
saisissez ou collez du code ici
En principe le media-src 'self' etc ne sert à rien puisqu’il y a default-src 'self' et que si un cas spécifique n’est pas déclaré il doit se rabattre sur le default.
Et non, je ne rajouterais pas *.netatmo.net
Aucune idée si c’est techniquement possible de faire un override de la policy seulement pour le dossier de ton plugin avec un htaccess mais de toute facon ca ne fonctionnera pas si le but est de mettre le flux dans un tuile sur le dashboard, ce n’est plus ton plugin alors mais le core
Autrement dit: si techniquement le htaccess fonctionne, cela ne sera le cas que pour tes pages de configs je pense.
Un proxy php devrait faire l’affaire: le navigateur doit se connecter à une page php dédié de ton plugin qui va se charger de se connecter à l’url externe et renvoyer le flux sur le client; tu trouveras des exemples tout fait sur internet.
@Loic : merci pour ton retour et je ne préconise pas du tout de désactiver ces règles
Loin de moi cette idée !
Peux-tu me dire par contre pourquoi une installation from scratch sur une VM Debian n’a pas le module mod_headers activé par défaut ?
Je parle d’une installation manuelle et non une ISO fournie par Jeedom…
Voir le topic Chargement module Apache (mod_headers)
@Mips merci d’avoir édité mon message avec les bonnes balises. Je suis sous l’effet de ma troisième dose de vaccin et je n’ai pas les yeux en face des trous
Pour le proxy, va être un poil complexe car j’utilise une librairie JS externe (hls.js) pour afficher le flux…
Je lui donne directement une URL et elle se débrouille comme une grande
Je vais voir ce que je peux faire… mais j’ai bien peur de n’avoir aucune solution.
pour le mod header je sais pas trop normalement les nouvelles règles de sécurité ne seront active que sur les nouvelles installation quand la 4.2 sera stable. Enfin en partie car la sécurité du htaccess est présente par mise a jour en 4.2.
A oui erreur de ma part c’est valable pour toute les nouvelles installation et ça ne sera désactivable qu’avec la 4.2 (mais comme dit on ne le recommande vraiment pas)
