Seguridad: Headers STS, CSP y X-Content-Type

[alesnav]

Pre-requisitos

• [ x ] Estoy corriendo la última versión.
• [ x ] He revisado si ya hay un issue creado con las mismas características.

Comportamiento esperado

Se espera utilizar las cabecera HTTP necesarias para mejorar la posición de seguridad de la página web.

• Strict-Transport-Security permite mejorar y fortalecer la seguridad de las conexiones TLS
• Content-Security-Policy protege ante intentos de inyección de recursos web como por ejemplo scripts no esperados, por lo que garantiza la imposibilidad de ataques XSS en caso de una implementación completa
• X-Content-Type-Options se recomienda configurar con valor nosniff para proteger ante intentos de evaluación de ficheros bajo MIME, forzando así la declaración explícita de los tipos de ficheros.

Comportamiento actual

Ninguna de las tres cabeceras en relativas a seguridad han sido implementadas.

Información del bug (si corresponde)

N/A

Pasos para reproducirlo

Comprobable fácil y directamente mediante Security Headers:

https://securityheaders.com/?q=lavelada.es&followRedirects=on

Contexto

Indiferente.

Logs de error (si corresponde)

No necesarios.

[alesnav]

¡¡Hola @midudev !!

He visto que ayer en el directo mostraste este issue (muchas gracias por prestar atención a la seguridad 👍 ) y que aparecía una valoración A en tu imagen, pero al comprobarlo en estos momentos veo que vuelve a aparecer como D.

Además, vi que confundiste entre sí los headers Content-Security-Policy (CSP) y Cross-Site Request Forgery (CSRF) en ese directo.

• CSP sirve para indicar al cliente web qué tipo de recursos y mediante qué orígenes puede cargarlos. Por eso decía antes que evita los ataques XSS, ya que impediría cargar scripts externos no esperados, Más info en https://developer.mozilla.org/es/docs/Web/HTTP/CSP
• CSRF, que traducido es "falsificiación de petición en sitios cruzados" sirve para evitar que algún actor malintencionado fuerce al usuario a realizar una petición no esperada sobre el site objetivo desde otro site diferente. En el caso de la web de lavelada.es realmente puede causar dos cosas: logout forzado y votos realizados de forma cruzada, en ambos casos sin ser consciente el usuario que realiza finalmente la acción. Estos ataques se conocen como XSRF. Más info en https://es.wikipedia.org/wiki/Cross-site_request_forgery

Por otro lado, veo que realmente hay un problema de incompatibilidad de Astro con las cabeceras CSP (si se despliegan de forma segura) y que se está discutiendo en un hilo de su repo (https://github.com/withastro/roadmap/discussions/377), ya que parece que no es viable eliminar la condición script-src: 'unsafe-inline' al utilizar Astro. Es decir, aunque se agregaran las cabeceras CSP, no sería del todo seguro, directamente por culpa de Astro al permitir explícitamente scripts de tipo unsafe-inline.

Finalmente, sobre CSRF, es cierto que Astro lo soporta de forma experimental en la última versión (https://astro.build/blog/astro-460/#experimental-support-for-csrf-protection), pero quizás se podría utilizar mediante los formularios de Astro Utils, aunque no lo he llegado a probar.

¡¡Gracias por todo el trabajo!!

[midudev]