Jens Maus hat sich entschieden, am kommenden Samstag eine HOTFIX-Version 3.45.7.20190511 von RaspberryMatic bereitzustellen, um die durch die Einführung von CSP (Content Security Policy) entstandenen Probleme durch die Entfernung dieser CSP zu beheben. Aufgrund von Diskussionen und Rückmeldungen aus dem HomeMatic Forum hat die Aktivierung von CSP mehr negative Auswirkung als Sicherheitsrelevante Vorteile für die Anwender von RaspberryMatic/WebUI. In diesem Artikel möchten wir euch darüber informieren, welche Probleme zu dieser nachvollziehbaren Entscheidung geführt haben. Zusätzlich geben wir euch auch ein paar Informationen zu dem Thema CSP (Content Security Policy).

Allgemeines

Grundsätzlich ist es in der heutigen Zeit, wo Cyberattacken deutlich zunehmen eine mehr als gute Idee dem Thema Sicherheit mehr Beachtung zu schenken. Das haben auch die letzten Firmware Updates von eQ-3 gezeigt, wo immer wieder neue sicherheitsrelevante Änderungen eingebaut worden sind. Mit der letzten RaspberryMatic Verison 3.45.7.20190504 wurde unter anderem CSP (Content Security Policy) eingebaut.

Ziel: Zusätzliche Maßnahmen für eine verbesserte Sicherheit gegen Cross-Site-Scripting (XSS) Attacken hinzugefügt. Nun werden „Content-Security-Policy:“ Reponseheader mit ausgegeben, sodass moderne Browser entsprechend darauf reagieren und vor Sicherheitsproblemen warnen können (#597@psytester).

Auch wenn die meisten Anwender von RaspberryMatic durch diese Vorgehensweise keinerlei Probleme oder Einschränkungen hatten, gab es trotzdem eine Vielzahl von Usern, welche in bestimmten Anwendungsfällen doch massive Probleme hatten, weil bis dahin laufende Funktionen nicht mehr liefen. Was das im Einzelnen gewesen ist, könnt ihr nachfolgend lesen.

Probleme

Entscheidung von Jens Maus

Es stellt sich also IMHO wirklich die Frage ob es man nicht besser die gesamte CSP Anpassungen wieder entfernen sollte als jetzt wie in diesem PR mehr und mehr Ausnahmen hinzuzufügen die IMHO nur dazu führen das man ohnehin dann Löcher in der CSP Sicherheit hat und damit ohnehin keinen wirklichen Nutzen hat. Denn bezogen auf diesen PR könnte ja nun ein CCU Addon wieder potentiell maligne Ressourcen vom Internet nachladen / einbinden…
Absolute Sicherheit gibt es eben IMHO nicht und selbst das Webinterface einer FritzBox schickt keinerlei Content-Security-Policy response header mit. Vmtl. aus gutem Grund?


So, habe bis auf weiteres wie angekündigt die CSP header erst einmal wieder für eine kommende Hotfix-Version abgeschalten. Wenn Interesse besteht kann gerne ein erneuter PR oder Ticket in Zukunft eingereicht werden der dann die CSP header wieder einführt, aber die hier diskutierten Problem dann vollumfänglich adressiert.

Informationen aus dem RaspberryMatic Github

Issues der HotFix Version

Unter dem nachfolgenden Link findet ihr detaillierte Informationen zu den in der kommenden HotFix Version von RaspberryMatic 3.45.7.20190511 eingebauten Issues:

Fazit

Aus meiner Sicht ist die Entscheidung von Jens Maus die Richtige und eine absolut nachvollziehbare Entscheidung. Wie Jens oben bereits geschrieben hat, besteht die Möglichkeit eine CSP in einer späteren Version noch einmal einzubauen. Wer sich an der Entwicklung/Diskussion beteiligen möchte, ist unter GitHub RaspberryMatic jederzeit willkommen.

1 Antwort

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere die Speicherung der Daten.