Какова реальная цель использования политики безопасности контента (CSP)?

Question

Я прочитал все официальные мотивы, почему это лучше, чем нарезанный хлеб, но на самом деле, если его можно отключить и / или изменить с помощью расширений браузера, настроек браузера или даже настроек / настроек / функций / свойств браузера по умолчанию. или по доверенности?

Если кто-то действительно хочет настроить таргетинг на ваш сайт, почему бы ему не отключить его или не использовать собственный способ подключения к вашему сайту?

Извините, что это не конкретная проблема с кодом. Скорее меня интересует, почему вообще стоит задуматься об этом? Господь знает, что синтаксис менее чем тривиален, и существует серьезная нехватка функциональности, из-за которой вам приходится выбирать между разрешением рискованного поведения или ограничением функциональности сайта без возможности сохранения функциональности безопасным способом.

Answer 1

Если кто-то действительно хочет настроить таргетинг на ваш сайт, почему бы ему не отключить его или не использовать собственный способ подключения к вашему сайту?

Возможно, но CSP защищает не от этого.

Многие взломы сайтов происходят примерно так: Bad Guy взламывает сайт. Innocent Victim получает доступ к сайту и получает удар от полезного груза Bad Guy. В этом случае CSP защищает жертву, но не настолько, чтобы не допустить проникновения плохого парня. (Другие меры безопасности учитывают первоначальную атаку.)

Также обратите внимание, что «Жертва» может быть вашим сайтом, если вы используете функциональность со стороннего сайта (например, PayPal или Google), потому что, если один из этих парней будет взломан, CSP на вашем сайте может сказать «эй, это не так». позволил". Пару месяцев назад произошел большой взлом поставщика услуг (забыв, кто), который поразил тонну сайтов, потому что все они рисовали код с этого сайта. Клиентские сайты могли бы предотвратить виктимизацию своих клиентов с помощью одной строки CSP, которая распознала бы недействительный код провайдера

Answer 2

Каждый инструмент, руководство и политика безопасности решают различные проблемы в разных контекстах.

Например, прокси может переписать. Но есть TLS / SSL / шифрование для борьбы с человеком посередине.

Например, браузер / плагин может переписать контент. Есть антивирус. И это не проблема, что они уже запущены на клиентском компьютере.

(Вы не можете безопасно закрыть ворота, если вор уже в вашем доме)

CSP борется с одной проблемой - ненадежным контентом из надежного источника. Контент, созданный третьими лицами / пользователями, на веб-сайте, которому вы доверяете.

Например. Если кто-нибудь загрузит картинку или javascript, например, на eBay, amazon или любой онлайн-магазин с платежным шлюзом, ни хост-служба, ни конечный пользователь не хотели бы, чтобы они исполнялись для кражи вашего пароля, кражи cookie для входа в систему или для перенаправления вас на фишинговый сайт.