Mozilla Observatory : Je suis passé de F à B |
Répondre |
Auteur |
Sujet Recherche Options des sujets
|
|
BMPS
Newbie Depuis le: 17 Août 2020 Pays: FRANCE Status: Inactif Points: 11 |
Sujet: Mozilla Observatory : Je suis passé de F à B Envoyé : 23 Août 2020 à 14:59 |
|
J'ai reçu dans la newsletter du ministère un lien vers un auto-diagnostique sur la sécurité IT. https://ssi.economie.gouv.fr/ Sur cette page est indiqué un lien vers le diagnostique de sécurité des sites internets fournit par Mozilla : https://observatory.mozilla.org/ Comme la plupart des sites, j'avais la note F. J'ai apporté les modifications suivantes du .htaccess et j'ai obtenu la note B ! --> test form email OK, fonctionnalités OK --> les scripts ont été piochés chez divers auteurs --> les scripts concernant la sécurité sont en couleur bleu Note : hébergé en mutualisé chez OVH, mon serveur est Apache. ci-dessous : # HSTS Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" #REDIRECTION HTTPS RewriteEngine On ## no-www -> www RewriteCond %{HTTP_HOST} !^www\. RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE,QSA] ## http -> https ## <!> besoin d'un certificat SSL DV (ou plus) sur le site RewriteCond %{HTTPS} off RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE,QSA] # Configuration et Sécurité AddDefaultCharset UTF-8 <IfModule mod_headers.c> #Securite ## Content-Secure Policy --> tous inhibés sinon NOK #Header set Content-Security-Policy "default-src https:;" #Header set Content-Security-Policy "default-src 'unsafe-inline';" #Header set Content-Security-Policy "default-src 'self';" ## X-XSS-Protection Header set X-XSS-Protection "1; mode=block" ## X-Frame-option Header set X-Frame-Options: "sameorigin" ## X-Content : voir https://www.justegeek.fr/proteger-un-peu-plus-son-site-avec-la-balise-x-content-type-options/ Header set X-Content-Type-Options: "nosniff" ## Feature-Policy : voir https://www.justegeek.fr/mettre-en-place-len-tete-feature-policy-sur-son-site-web/ Header set Feature-Policy "accelerometer 'none'; ambient-light-sensor 'none'; autoplay 'none'; battery 'none'; camera 'none'" ## Referer Policy Header always set Referrer-Policy "strict-origin-when-cross-origin" #gestion du cache Header set Cache-Control "private, max-age=0, must-revalidate" #compatibilité --> sinon erreur sur W3C Header set X-UA-Compatible "IE=edge" </IfModule> Voilà. Le seul bémol concerne le Content-Security-Policy pour lequel je ne sais pas comment (ou si on peut) améliorer les propriétés sans dégrader les fonctionnalités du site (les scripts jQuery etc sont bloqués). En espérant que ce post puisse aider les utilisateurs OpenElement ! |
||
Cordialement,
|
||
Hobby001
Admin Group Modérateur Depuis le: 14 Feb 2015 Pays: Canada, Québec Status: Inactif Points: 6513 |
Envoyé : 24 Août 2020 à 12:20 | |
Tout ceci est vraiment intéressant, merci de l'avoir partagé.
Si vous lisez ceci, https://developer.mozilla.org/fr/docs/Web/HTTP/CSP Ils suggèrent d'utiliser ceci:
Ça va faire planter tout le code JS et le code CSS de votre site parce que les balises <script> et <style> ne pointent pas directement à la source mais le font à partir de liens et de référence établis dans l'entête de la page. Ce qui suit étant inclus par défaut dans une page créee avec OE
Edité par Hobby001 - 24 Août 2020 à 12:51 |
||
Hobby001
Admin Group Modérateur Depuis le: 14 Feb 2015 Pays: Canada, Québec Status: Inactif Points: 6513 |
Envoyé : 24 Août 2020 à 12:28 | |
Si vous le faites au niveau du serveur, je pense que les références à src="https://ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.js Ne fonctionneront pas à moins de les y autoriser. Certains éléments supplémentaires peuvent avoir été conçus avec des références externes, il faudra aussi les ajouter.
Edité par Hobby001 - 24 Août 2020 à 12:48 |
||
Hobby001
Admin Group Modérateur Depuis le: 14 Feb 2015 Pays: Canada, Québec Status: Inactif Points: 6513 |
Envoyé : 24 Août 2020 à 12:30 | |
Il faudrait voir ce qui peut être fait pour que la balise meta puisse inclure toutes les références externes. autorisées.
Edité par Hobby001 - 24 Août 2020 à 12:46 |
||
Hobby001
Admin Group Modérateur Depuis le: 14 Feb 2015 Pays: Canada, Québec Status: Inactif Points: 6513 |
Envoyé : 24 Août 2020 à 12:41 | |
Ceci dit, quand je regarde le contenu de la page suivante du Gouvernement du Québec https://www.quebec.ca/ . J'y vois le même type de référence que dans openElement. Le but de "Content-Security-Policy" est de prévenir qu'un malicieux se serve de votre page pour attaquer le visiteur à cause de l'incapacité des navigateurs à juger du contenu qu'ils exécutent, c'est là que les anti-virus et les anti-malware interviennent. Les inter-actions passant par du code php éliminent beaucoup de ces risques si elles sont bien bâties. Le formulaire OE passe par du code php. J'ajoute que si vous ne collectez pas de données personnelles et/ou financières sur votre site, vous ne risquez pas de vous les faire voler. Edité par Hobby001 - 24 Août 2020 à 12:42 |
||
BMPS
Newbie Depuis le: 17 Août 2020 Pays: FRANCE Status: Inactif Points: 11 |
Envoyé : 24 Août 2020 à 14:42 | |
Vous devez avoir raison. En tout cas ça, même si les informations de mes clients (pro) ne sont pas sensibles sur le formulaire (et donc pas besoin d'aller plus loin le CSP), j'aime savoir que mon site est mieux sécurisé (enfin j'espère). <doooouuuute>
|
||
Cordialement,
|
||
Répondre | |
Tweet
|
Aller au Forum | Permissions du forum Vous ne pouvez pas écrire un nouveau Sujet Vous ne pouvez pas répondre aux Sujets Vous ne pouvez pas effacer vos messages Vous ne pouvez pas éditer vos messages Vous ne pouvez pas créer des sondages Vous ne pouvez pas voter dans les sondages |