CSP (Content Security Policy) --> Probleme mit roundcube

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

CSP (Content Security Policy) --> Probleme mit roundcube

Beitrag von mistersixt » 07.09.2016 08:18:20

Moin moin,

nachdem ich meinem Webserver ein paar Sicherheitseinstellungen verpasst habe ...

Code: Alles auswählen

setenv.add-response-header  = ( 
"Strict-Transport-Security" => "max-age=15768000; includeSubdomains; preload", 
"X-Frame-Options" => "DENY", 
"X-Content-Type-Options" => "nosniff", 
"X-Xss-Protection" => "1; mode=block", 
"Content-Security-Policy" => "default-src https:; script-src https: 'unsafe-inline'; style-src https: 'unsafe-inline'" )
... ging selbst das Login auf der Anmeldemaske beim Roundcube-Mail nicht mehr. Nach etwas Sucherei bin ich mit "X-Frame-Options" => "SAMEORIGIN" einen kleinen Schritt weiter, die Anmeldung bei Roundcube klappt, die Overview-Seite lädt, aber dann lässt sich weiter nichts anklicken.

Jemand eine Idee, wie ich das Debuggen kann? Oder hat Jemand eine funktionierende CSP-Einstellung parat, mit der Roundcube wieder funktionstüchtig wird?

Danke im voraus,

mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE

Alexius
Beiträge: 4
Registriert: 10.02.2017 10:03:18

Re: CSP (Content Security Policy) --> Probleme mit roundcube

Beitrag von Alexius » 10.02.2017 10:16:45

Hallo,

bei mir funktioniert

Content-Security-Policy: "default-src 'self'; style-src 'self' 'unsafe-inline' frame-ancestors 'self' child-src 'self' https://MEINEDOMAIN/PFADZU/roundcubemail"

Gruß
Alexius

Alexius
Beiträge: 4
Registriert: 10.02.2017 10:03:18

Re: CSP (Content Security Policy) --> Probleme mit roundcube

Beitrag von Alexius » 10.02.2017 10:22:25

dachte ich ;-)
So wie es aussieht ist das Finetuning noch nicht perfekt.
Also sorry

Alexius
Beiträge: 4
Registriert: 10.02.2017 10:03:18

Re: CSP (Content Security Policy) --> Probleme mit roundcube

Beitrag von Alexius » 16.02.2017 10:01:00

Nach einigem erfolglosem Probieren habe ich mir jetzt mit der folgenden CSP beholfen:

Header set Content-Security-Policy: "referrer no-referrer"

Was für den Schutz vom Content soviel wir gar nichts bedeutet, da es ja eine Referrer-Policy ist.
Aber besser als gar nichts 8O

Alexius
Beiträge: 4
Registriert: 10.02.2017 10:03:18

Re: CSP (Content Security Policy) --> Probleme mit roundcube

Beitrag von Alexius » 16.02.2017 10:15:38

Also script-src zu definieren scheint gar nicht zu gehen mit roundcube.
Da kann ich machen was ich will der Frame der die Mails anzeigen soll bleibt weiß.
Auch default-src ist ebenso sperrig in der Anwendung und muss daher außen vor bleiben.
Ich habe die CSP noch etwas ergänzt, so dass sie etwas geschmeidiger aussieht :facepalm:

Header set Content-Security-Policy: referrer origin; frame-ancestors https: ;style-src https: 'unsafe-inline'; child-src 'self' https:; img-src 'self'; connect-src 'self'; font-src 'self'; form-action 'self'; upgrade-insecure-requests; report-uri https://$MYREPORT.report-uri.io/r/default/csp/enforce"

Antworten