Skip to content

Einführung Permissions Policy

User Story

Als Nutzer des FIT-Connect-SSPs möchte ich, dass das aktuelle Sicherheits-Standards unterstützt.

Warum

Die Permissions Policystellt eine auch in Audits und Pen-Tets gefragte Verbeserung der Sicherheit dar.

Links, Hinweise, Bemerkungen

Es wird empfehlen, die Implementierung einer restriktiven Permissions Policy durch Setzen des Permissions-Policy-Headers umzusetzen. Alle nicht zwingend benötigten Browser-Funktionen und -APIs sollten deaktiviert werden. Bei erforderlichen Funktionen und APIs sollten die zugelassenen Origins auf ein absolut erforderliches Minimum beschränkt werden. Ein restriktives Beispiel könnte wie folgt aussehen:

Permissions-Policy: accelerometer=(), ambient-light-sensor=(), autoplay=(),
battery=(), camera=(), cross-origin-isolated=(), display-capture=(), document-
domain=(), encrypted-media=(), execution-while-not-rendered=(), execution-while-
out-of-viewport=(), fullscreen=(), geolocation=(), gyroscope=(), keyboard-
map=(), magnetometer=(), microphone=(), midi=(), navigation-override=(),
payment=(), picture-in-picture=(), publickey-credentials-get=(), screen-wake-
lock=(), sync-xhr=(), usb=(), web-share=(), xr-spatial-tracking=(), clipboard-
read=(), clipboard-write=(), gamepad=(), speaker-selection=(), conversion-
measurement=(), focus-without-user-activation=(), hid=(), idle-detection=(),
interest-cohort=(), serial=(), sync-script=(), trust-token-redemption=(),
window-placement=(), vertical-scroll=()

Der Policy Generator der Seite https://www.permissionspolicy.com/ kann genutzt werden, um eine passende Konfiguration zu erstellen.

Eine Liste der durch die Permissions Policy abgedeckten Funktionen findet sich unter: https://github.com/w3c/webappsec-permissions-policy/blob/master/features.md Allgemeine Informationen zur Umstellung von der Feature Policy auf die Permissions Policy finden sich unter: https://scotthelme.co.uk/goodbye-feature-policy-and-hello-permissions-policy/ Um für die Browser-Unterstützung eine breitere Abdeckung zu erreichen, sollte derzeit zusätzlich zur Permissions Policy auch der Feature-Policy-Header12 gesetzt werden.

Akzeptanzkriterien

  1. Es ist geklärt, ob bzw. welche Permissions das SSP überhaupt benötigt.
  2. Es wird ein passender Permissions Header erzeugt und im SSP gesetzt.
  3. ...

Mögliche Folgeaktivitäten (vom Entwickler zu ergänzen)

Edited by Andreas Aschauer