Content Security Policy

Bonjour,

Mon yunohst étant accéssible depuis l’Internet, je suis très sensible à la sécurité et au chiffrement.
Après avoir chercher et tester diférentes manières pour sécuriser l’accès à Yunohost, je me retrouve avec un CSP pas très sécurisé :confused:

Voici ce que j’ai mis pour avoir accès à la partie admin :slight_smile:
add_header Content-Security-Policy "default-src 'self' https:; style-src 'self' 'unsafe-inline' 'unsafe-eval'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; connect-src 'self' wss:; child-src 'self';";

Ce qui me dérange est l’obligation d’ajouter ‘unsafe-inline’ et ‘unsafe-eval’ sinon pas d’accès à la partie admin.

Est-il possible que le code de Yunohost soit revue et corrigé pour ne pas être obligé d’utiliser ces 2 options très dangereuse.

Merci :slight_smile:

Bonjour,

J’ai créé un ticket associé à ta demande. Ca risque de ne pas être évident car les eval sont issus de bibliothèques utilisées par la webadmin.
https://dev.yunohost.org/issues/555

Si tu en sais plus sur unsafe-inline et les risques associés, merci d’en faire part sur le ticket.

Bonjour ljf,

pour plus d’informations, un lien qui explique pas mal les choses: http://www.trucsweb.com/tutoriels/securite/csp/
en tout cas merci pour la prise en compte :slight_smile: