J'ai reçu dans la newsletter du ministère un lien vers un auto-diagnostique sur la sécurité IT. https://ssi.economie.gouv.fr/ Sur cette page est indiqué un lien vers le diagnostique de sécurité des sites internets fournit par Mozilla : https://observatory.mozilla.org/
Comme la plupart des sites, j'avais la note F.
J'ai apporté les modifications suivantes du .htaccess et j'ai obtenu la note B ! --> test form email OK, fonctionnalités OK --> les scripts ont été piochés chez divers auteurs --> les scripts concernant la sécurité sont en couleur bleu
Note : hébergé en mutualisé chez OVH, mon serveur est Apache.
ci-dessous :
# HSTS Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
#REDIRECTION HTTPS RewriteEngine On
## no-www -> www RewriteCond %{HTTP_HOST} !^www\. RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE,QSA]
## http -> https ## <!> besoin d'un certificat SSL DV (ou plus) sur le site
RewriteCond %{HTTPS} off RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE,QSA]
# Configuration et Sécurité AddDefaultCharset UTF-8
<IfModule mod_headers.c> #Securite ## Content-Secure Policy --> tous inhibés sinon NOK #Header set Content-Security-Policy "default-src https:;" #Header set Content-Security-Policy "default-src 'unsafe-inline';" #Header set Content-Security-Policy "default-src 'self';" ## X-XSS-Protection Header set X-XSS-Protection "1; mode=block" ## X-Frame-option Header set X-Frame-Options: "sameorigin" ## X-Content : voir https://www.justegeek.fr/proteger-un-peu-plus-son-site-avec-la-balise-x-content-type-options/ Header set X-Content-Type-Options: "nosniff" ## Feature-Policy : voir https://www.justegeek.fr/mettre-en-place-len-tete-feature-policy-sur-son-site-web/ Header set Feature-Policy "accelerometer 'none'; ambient-light-sensor 'none'; autoplay 'none'; battery 'none'; camera 'none'" ## Referer Policy Header always set Referrer-Policy "strict-origin-when-cross-origin"
#gestion du cache Header set Cache-Control "private, max-age=0, must-revalidate"
#compatibilité --> sinon erreur sur W3C Header set X-UA-Compatible "IE=edge" </IfModule>
Voilà. Le seul bémol concerne le Content-Security-Policy pour lequel je ne sais pas comment (ou si on peut) améliorer les propriétés sans dégrader les fonctionnalités du site (les scripts jQuery etc sont bloqués). En espérant que ce post puisse aider les utilisateurs OpenElement !
------------- Cordialement,
|