Antivirus offre spéciale - jusqu'à 60 % de réduction avec openElement !
Accueil Forum Accueil Forum >

openElement

> Scripts pour votre site
  Nouveaux messages Nouveaux messages Fil RSS  - Mozilla Observatory : Je suis passé de F à B
  FAQ FAQ  Rechercher dans le Forum   Inscription Inscription  Connexion Connexion

Sujet ferméMozilla Observatory : Je suis passé de F à B

 Répondre Répondre
Auteur
Message
BMPS allez vers le bas
Newbie
Newbie
Avatar

Depuis le: Aug 17 2020
Pays: FRANCE
Status: Inactif
Points: 11
Lien Direct à ce Post Sujet: Mozilla Observatory : Je suis passé de F à B
    Envoyé : Aug 23 2020 à 1:59pm
J'ai reçu dans la newsletter du ministère un lien vers un auto-diagnostique sur la sécurité IT.
https://ssi.economie.gouv.fr/
Sur cette page est indiqué un lien vers le diagnostique de sécurité des sites internets fournit par Mozilla :
https://observatory.mozilla.org/

Comme la plupart des sites, j'avais la note F.
J'ai apporté les modifications suivantes du .htaccess et j'ai obtenu la note B !
--> test form email OK, fonctionnalités OK
--> les scripts ont été piochés chez divers auteurs
--> les scripts concernant la sécurité sont en couleur bleu

Note : hébergé en mutualisé chez OVH, mon serveur est Apache.

ci-dessous :

# HSTS
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

#REDIRECTION HTTPS
RewriteEngine On

  ## no-www -> www
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE,QSA]

  ## http -> https
  ## <!> besoin d'un certificat SSL DV (ou plus) sur le site
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE,QSA]


# Configuration et Sécurité
AddDefaultCharset UTF-8

<IfModule  mod_headers.c>
#Securite
 ## Content-Secure Policy --> tous inhibés sinon NOK
#Header set Content-Security-Policy "default-src https:;"
#Header set Content-Security-Policy "default-src 'unsafe-inline';"
#Header set Content-Security-Policy "default-src 'self';"
 ## X-XSS-Protection
Header set X-XSS-Protection "1; mode=block"
 ## X-Frame-option
Header set X-Frame-Options: "sameorigin"
 ## X-Content : voir https://www.justegeek.fr/proteger-un-peu-plus-son-site-avec-la-balise-x-content-type-options/
Header set X-Content-Type-Options: "nosniff"
 ## Feature-Policy : voir https://www.justegeek.fr/mettre-en-place-len-tete-feature-policy-sur-son-site-web/
Header set Feature-Policy "accelerometer 'none'; ambient-light-sensor 'none'; autoplay 'none'; battery 'none'; camera 'none'"
 ## Referer Policy
Header always set Referrer-Policy "strict-origin-when-cross-origin"

#gestion du cache
Header set Cache-Control "private, max-age=0, must-revalidate"

#compatibilité --> sinon erreur sur W3C
Header set X-UA-Compatible "IE=edge"
</IfModule>


Voilà.
Le seul bémol concerne le Content-Security-Policy pour lequel je ne sais pas comment (ou si on peut) améliorer les propriétés sans dégrader les fonctionnalités du site (les scripts jQuery etc sont bloqués).
En espérant que ce post puisse aider les utilisateurs OpenElement ! Beer

Cordialement,
Haut de la page
Hobby001 allez vers le bas
Admin Group
Admin Group
Avatar
Modérateur

Depuis le: Feb 14 2015
Pays: Canada, Québec
Status: Inactif
Points: 5597
Lien Direct à ce Post Envoyé : Aug 24 2020 à 11:20am
Tout ceci est vraiment intéressant, merci de l'avoir partagé.


Ils suggèrent d'utiliser ceci:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

Ça va faire planter tout le code JS et le code CSS de votre site parce que les balises <script> et <style> ne pointent pas directement à la source mais le font à partir de liens et de référence établis dans l'entête de la page.  Ce qui suit étant inclus par défaut dans une page créee avec OE

  <link id="openElement" rel="stylesheet" type="text/css" href="WEFiles/Css/v02/openElement.css?v=50491105200" />
  <link id="siteFonts" rel="stylesheet" type="text/css" href="Files/Fonts/Fonts.css?v=50491105200" />
  <link id="OETemplate1" rel="stylesheet" type="text/css" href="Templates/Base.css?v=50491105200" />
  <link id="OETemplate2" rel="stylesheet" type="text/css" href="Templates/Calque%20Menu.css?v=50491105200" />
  <script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.js"></script>
  <script type="text/javascript" src="WEFiles/Client/jQuery/migrate.js?v=50491105200"></script>
  <script type="text/javascript" src="WEFiles/Client/Common/oe.min.js?v=50491105200"></script>





Edité par Hobby001 - Aug 24 2020 à 11:51am
Haut de la page
Hobby001 allez vers le bas
Admin Group
Admin Group
Avatar
Modérateur

Depuis le: Feb 14 2015
Pays: Canada, Québec
Status: Inactif
Points: 5597
Lien Direct à ce Post Envoyé : Aug 24 2020 à 11:28am
Si vous le faites au niveau du serveur, je pense que les références à 

src="https://ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.js

Ne fonctionneront pas à moins de les y autoriser.

Certains éléments supplémentaires peuvent avoir été conçus avec des références externes, il faudra aussi les ajouter.


Edité par Hobby001 - Aug 24 2020 à 11:48am
Haut de la page
Hobby001 allez vers le bas
Admin Group
Admin Group
Avatar
Modérateur

Depuis le: Feb 14 2015
Pays: Canada, Québec
Status: Inactif
Points: 5597
Lien Direct à ce Post Envoyé : Aug 24 2020 à 11:30am
Il faudrait voir ce qui peut être fait pour que la balise meta puisse inclure toutes les références externes.  autorisées.

Edité par Hobby001 - Aug 24 2020 à 11:46am
Haut de la page
Hobby001 allez vers le bas
Admin Group
Admin Group
Avatar
Modérateur

Depuis le: Feb 14 2015
Pays: Canada, Québec
Status: Inactif
Points: 5597
Lien Direct à ce Post Envoyé : Aug 24 2020 à 11:41am
Ceci dit, quand je regarde le contenu de la page suivante du Gouvernement du Québec https://www.quebec.ca/ . J'y vois le même type de référence que dans openElement.   

Le but de "Content-Security-Policy" est de prévenir qu'un malicieux se serve de votre page pour attaquer le visiteur à cause de l'incapacité des navigateurs à juger du contenu qu'ils exécutent, c'est là que les anti-virus et les anti-malware interviennent.

Les inter-actions passant par du code php éliminent beaucoup de ces risques si elles sont bien bâties.  Le formulaire OE passe par du code php.

J'ajoute que si vous ne collectez pas de données personnelles et/ou financières sur votre site, vous ne risquez pas de vous les faire voler.  



Edité par Hobby001 - Aug 24 2020 à 11:42am
Haut de la page
BMPS allez vers le bas
Newbie
Newbie
Avatar

Depuis le: Aug 17 2020
Pays: FRANCE
Status: Inactif
Points: 11
Lien Direct à ce Post Envoyé : Aug 24 2020 à 1:42pm
Message posté par Hobby001 Hobby001 a écrit:

Ceci dit, quand je regarde le contenu de la page suivante du Gouvernement du Québec https://www.quebec.ca/ . J'y vois le même type de référence que dans openElement.   

Le but de "Content-Security-Policy" est de prévenir qu'un malicieux se serve de votre page pour attaquer le visiteur à cause de l'incapacité des navigateurs à juger du contenu qu'ils exécutent, c'est là que les anti-virus et les anti-malware interviennent.

Les inter-actions passant par du code php éliminent beaucoup de ces risques si elles sont bien bâties.  Le formulaire OE passe par du code php.

J'ajoute que si vous ne collectez pas de données personnelles et/ou financières sur votre site, vous ne risquez pas de vous les faire voler.  


Vous devez avoir raison. En tout cas ça, même si les informations de mes clients (pro) ne sont pas sensibles sur le formulaire (et donc pas besoin d'aller plus loin le CSP), j'aime savoir que mon site est mieux sécurisé (enfin j'espère).
<doooouuuute>
Cordialement,
Haut de la page
 Répondre Répondre
  Partagez ce sujet   

Aller au Forum Permissions du forum allez vers le bas

Forum Software by Web Wiz Forums® version 10.18
Copyright ©2001-2014 Web Wiz Ltd.

Cette page a été affichée en 0,031 secondes.
Acheter votre vélo en ligne