Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса - страница 4 - Безопасность сайтов на Joomla

Что значит не работает?

Спасибо большое за плагин!
Только у меня он почему-то не работает совсем. Установила через менеджер расширений, он сразу идет включенным, настройки никакие не прописывала, оставила все как есть. Не работает, как будто его и нет((((
Joomla 2.5

Везет же некоторым ))))
А у меня он все полностью отрубает, хотя и прописаны все домены.
очень надеюсь на помощь автора.

Что значит не работает?

Ну ничего не изменилось после установки. Переходы на эти гобонги как были так и есть, свою рекламу на сайте не отрезало (которая не была прописана в настройках). Вот.

Ну ничего не изменилось после установки. Переходы на эти гобонги как были так и есть, свою рекламу на сайте не отрезало (которая не была прописана в настройках). Вот.

Можете посмотреть заголовки страницы? Как я страницей выше писал..
Кроме того, возможно, нужно в админке очистить кэш.

Гхм... может быть эта вирусяка генерирует просто HTML код и делает замену блока не js-ом а HTML?

Кеш чистила и устаревший тоже.
В заголовках страницы ничего не появляется.

Кеш чистила и устаревший тоже.
В заголовках страницы ничего не появляется.

Можно ссылку на сайт?

Да, у кого проблемы с правильной настройкой - давайте в джаббер конфу joomla@conference.jabber.ru

Да, у кого проблемы с правильной настройкой - давайте в джаббер конфу joomla@conference.jabber.ru

Вот я не знаю, что такое джаберконфа, вы мне можете помочь настроить плагин или так и будете игнорировать дальше все мои сообщения?

Вот я не знаю, что такое джаберконфа, вы мне можете помочь настроить плагин или так и будете игнорировать дальше все мои сообщения?

Могу, когда он включен, видя сайт.
Для этого и предлагаю общаться в джаббер-конфе.
ЗЫ. В винде основной клиент для джаббера - это QIP

Блин,...я такой отсталый, что не знаю что это такое...видимо, так и придется доживать с гобонго ))
Еще ответьте, пожалуйста, про .htaccess
Надо там строчки добавлять? Или нет?

А на счет смотрения на сайт, когда включен плагин, я и так вам могу сказать - отрубает все под чистую.

Если нужно еще денег перевести, напишите, я переведу, только не отмахивайтесь от вопросов. Тема насущная, думаю, многим нужно такое решение.

Это "и так" не дает списка доменов блин!

Домены - рся, адсенс, кнопки яндекса, счетчик ли.ру, метрика, виджет вконтакте, ютюб. Практически все это у вас прописано в последней версии плагина по дефолту. Но при установке и включении, режет все вчистую.

И вы так и не ответили про решение предложенное на серче с прописыванием строчек в файле .htaccess. Прокомментируйте его, пожалуйста.

Плагин - это альтернатива htaccess, более удобная и гибкая.
Либо одно, либо другое, результат зависит лишь от параметров.

По поводу перечисленного - у меня допустим нет тестовых сайтов с РСЯ, я сейчас не буду ничего поднимать и ставить туда рекламу, это долго и неэффективно, посмотреть же на рабочем сайте =  столько же времени, как написать один только этот пост, не больше.

Так как помощи с настройками плпгина не дождался, прописал в htaccess то, что предлагают на серче. Вроде работает все.

Так как помощи с настройками плпгина не дождался, прописал в htaccess то, что предлагают на серче. Вроде работает все.

А что конкретно написали? Скиньте сюда!

Скидываю:
Скопировал то, что вот в этом посте было написано

Вроде работает, точнее блокирует, но по переходам еще рано делать выводы.
И еще при включении дополнительных заголовков, появляются предупреждения:

Может стоить поставить какую то проверку на UserAgent для разных браузеров и разных заголовков или это не важно? Например при помощи класса JWebClient.

Так и не получилось придумать действенное решение?

В общем нам всем повезло Касперский начал блокировать этих ушлых ребят из AceStream http://forum.kaspersky.com/index.php?showtopic=306365&st=0
Так они(AceStream) при этом еще и угрожают из за этого Лаборатории Касперского за блокировку, клоуны мля)

Исходя из того что мы не видим и малейших причин какой-либо законной и обоснованной блокировки программных компонентов нашего ПО, то такие действия наносят вред не только нам и нашим общими с вами пользователям, а еще и непосредственно и самой лаборатории Касперского, так как среди нашей 15млн. аудитории очень много ваших пользователей и вероятнее всего им просто придется делать выбор между вашим и нашим софтом, а учитывая что на данный момент имеется очень много разных хороших альтернатив вашему продукту, а нашему нет, то возможно какая-то часть пользователей все-таки сделает выбор в нашу пользу. Ну а если мы еще и не получим каких-либо внятных обоснований причин таких блокировок, и мы определим что это является целенаправленным умышленным заказным вредительством, то мы еще и будем вынуждены принять определенные встречные меры

Так как помощи с настройками плпгина не дождался, прописал в htaccess то, что предлагают на серче. Вроде работает все.

Если подошли конкретные настройки в htaccess - то их же можно скопировать в настройки плагина.

Этих клоунов надо в тюрьму за кражу в особо крупных размерах (недополученная прибыль даже с сотни крупных сайтов исчисляется миллионами), а Касперский это хорошо, но еще не панацея.

Если подошли конкретные настройки в htaccess - то их же можно скопировать в настройки плагина.

Сегодня посоветовали из трех строчек в .htaccess оставить лишь одну верхнюю. Так как остальные две строчки расчитаны на экзотические браузеры, а из-за этих строчек путаются все наиболее часто использующиеся пользователями браузеры.

Так что, если кто воспользовался советом прописать три строки в .htaccess, тоже можете смело убирать вторую и третью строчку.

Там в плагине есть параметр включающий 1 или 3 строки.

Выяснились ещё некоторые особенности:

Чтобы работал виджет вконтакте нужно в
frame-src дописать vk.com https://vk.com
Получается https прописывается отдельно.

Есть проблема с вёрсткой в сафари и некоторых андройд браузерах, чтобы её решить в
script-src дописываем свой домен

Чтобы грузились внешние шрифты нужно добавлять fonts.googleapis.com, я добавил в default-src

Думаю можно составить большой список того, что нужно разрешать для 90% сайтов. На серче набралось вот такое уже:

default-src 'self'
script-src 'self' 'unsafe-inline' 'unsafe-eval' http://вашдомен.ru http://counter.rambler.ru my2.imgsmail.ru www.gstatic.com yandex.st an.yandex.ru pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com
object-src 'self' www.gstatic.com
style-src 'self' 'unsafe-inline'
img-src 'self' data: 0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count
http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net counter.rambler.ru top-fwz1.mail.ru www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com
media-src 'self'
frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com https://vk.com
font-src 'self' fonts.googleapis.com
connect-src 'self' mc.yandex.ru *.gstatic.com

Ещё я не понимаю, почему у меня Firefox в консоли ругается:

Content Security Policy: Не удалось обработать неизвестную директиву '"default-src'
Content Security Policy: Не удалось обработать неизвестную директиву 'allow'
Content Security Policy: Не удалось обработать неизвестную директиву 'inline-src'
Content Security Policy: Не удалось обработать неизвестную директиву '"'

что ему может не нравится?

Поставил хваленый плагин, посмотрел... Не работает...
Разбираюсь...

Я может отстал от жизни... А зачем вот эти кавычки?


Вот смотрю пример на facebook (кажется там толковые ребята работают, им стоит верить)


И зачем использовать header()? когда есть API
И лучше использовать нижний регистр

Как проверял?
 - Взял пустую Joomla 3
 - поставил плагин и просто запустил
 - вставлял левые скрипты с левых доменов
 - добавил report-uri
 - смотрю через Chrome 37

Сработало только после вышесказанных правок. Чет плагин не ахти как написан) или я чет не так делаю?

И вот эти 2 момента смущают

1. Как то костыльненко чтоли... (не смотрю на  "!=")

есть же

2. Почему выбран onBeforeCompileHead? тут имеется же ввиду HTML head
я б выбрал после из возможных после рендеринга, например onAfterRender
Почему? вдруг какое-то нехорошее расширение будет отправлять свой заголовок CSP, переписывая плагин.
Конечно выбор onAfterRender от этого не спасает, но если это расширение будет компонент, то профит будет

sm_denis, обновите плагин через автообновление. Автор исправил этот момент с кавычками. Возможно что-то еще тоже подкрутил.

тогда не плохо было бы и тут обновить
http://www.joomla15.ru/files/plugins/item/plugins-for-joomla15/consecpolicy-joomla.html

Написано что 1.0.3, скачивается 1.0.4, а актауальная 1.0.5 ...все так сумбурненько еще и 100р доната за нерабочую версию просят,
Совершенно никого не хочу обидеть, но как то это не по джедайски.

А кавычки остались, только обрамляют теперь другое и в них по прежнему нет смысла.
не... в общем напишу свое со своим преферансом и плюшакми)) заодно вспомню что-нить по xss, официальную спеку почитаю...

а целом за информацию спасибо всем из этого топика.

2. Почему выбран onBeforeCompileHead? тут имеется же ввиду HTML head
я б выбрал после из возможных после рендеринга, например onAfterRender
Почему? вдруг какое-то нехорошее расширение будет отправлять свой заголовок CSP, переписывая плагин.
Конечно выбор onAfterRender от этого не спасает, но если это расширение будет компонент, то профит будет

После не нужно, нужно до загрузки страницы сказать браузеру, чтобы он лишнего не грузил. Когда браузер уже всё загрузит, ему бесполезно будет об этом говорить.

имхо, вся эта защита сводится на нет только лишь потому, что не получится отказаться от инлайн скриптов. соответственно, вирусы будут продолжать баловаться это должно решаться не на уровне сервера.