Imprimer la Page | Fermez la fenêtre

Mozilla Observatory : Je suis passé de F à B

Imprimé depuis: Forum openElement
Categorie:

openElement


Nom du Forum: Scripts pour votre site
Description du Forum: Exemple de scripts utilisables dans les blocs de codes
URL: https://forums.openelement.uk/fr/forum_posts.asp?TID=23933
Date: 29 Mar 2024 à 11:52
Version logiciel: Web Wiz Forums 12.04 - http://www.webwizforums.com


Sujet: Mozilla Observatory : Je suis passé de F à B
Posté par: BMPS
Sujet: Mozilla Observatory : Je suis passé de F à B
Posté le: 23 Août 2020 à 14:59
J'ai reçu dans la newsletter du ministère un lien vers un auto-diagnostique sur la sécurité IT.
https://ssi.economie.gouv.fr/
Sur cette page est indiqué un lien vers le diagnostique de sécurité des sites internets fournit par Mozilla :
https://observatory.mozilla.org/

Comme la plupart des sites, j'avais la note F.
J'ai apporté les modifications suivantes du .htaccess et j'ai obtenu la note B !
--> test form email OK, fonctionnalités OK
--> les scripts ont été piochés chez divers auteurs
--> les scripts concernant la sécurité sont en couleur bleu

Note : hébergé en mutualisé chez OVH, mon serveur est Apache.

ci-dessous :

# HSTS
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

#REDIRECTION HTTPS
RewriteEngine On

  ## no-www -> www
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE,QSA]

  ## http -> https
  ## <!> besoin d'un certificat SSL DV (ou plus) sur le site
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE,QSA]


# Configuration et Sécurité
AddDefaultCharset UTF-8

<IfModule  mod_headers.c>
#Securite
 ## Content-Secure Policy --> tous inhibés sinon NOK
#Header set Content-Security-Policy "default-src https:;"
#Header set Content-Security-Policy "default-src 'unsafe-inline';"
#Header set Content-Security-Policy "default-src 'self';"
 ## X-XSS-Protection
Header set X-XSS-Protection "1; mode=block"
 ## X-Frame-option
Header set X-Frame-Options: "sameorigin"
 ## X-Content : voir https://www.justegeek.fr/proteger-un-peu-plus-son-site-avec-la-balise-x-content-type-options/
Header set X-Content-Type-Options: "nosniff"
 ## Feature-Policy : voir https://www.justegeek.fr/mettre-en-place-len-tete-feature-policy-sur-son-site-web/
Header set Feature-Policy "accelerometer 'none'; ambient-light-sensor 'none'; autoplay 'none'; battery 'none'; camera 'none'"
 ## Referer Policy
Header always set Referrer-Policy "strict-origin-when-cross-origin"

#gestion du cache
Header set Cache-Control "private, max-age=0, must-revalidate"

#compatibilité --> sinon erreur sur W3C
Header set X-UA-Compatible "IE=edge"
</IfModule>


Voilà.
Le seul bémol concerne le Content-Security-Policy pour lequel je ne sais pas comment (ou si on peut) améliorer les propriétés sans dégrader les fonctionnalités du site (les scripts jQuery etc sont bloqués).
En espérant que ce post puisse aider les utilisateurs OpenElement ! Beer



-------------
Cordialement,



Réponses:
Posté par: Hobby001
Posté le: 24 Août 2020 à 12:20
Tout ceci est vraiment intéressant, merci de l'avoir partagé.

Si vous lisez ceci,  https://developer.mozilla.org/fr/docs/Web/HTTP/CSP" rel="nofollow - https://developer.mozilla.org/fr/docs/Web/HTTP/CSP

Ils suggèrent d'utiliser ceci:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

Ça va faire planter tout le code JS et le code CSS de votre site parce que les balises <script> et <style> ne pointent pas directement à la source mais le font à partir de liens et de référence établis dans l'entête de la page.  Ce qui suit étant inclus par défaut dans une page créee avec OE

  <link id="openElement" rel="stylesheet" type="text/css" href="WEFiles/Css/v02/openElement.css?v=50491105200" />
  <link id="siteFonts" rel="stylesheet" type="text/css" href="Files/Fonts/Fonts.css?v=50491105200" />
  <link id="OETemplate1" rel="stylesheet" type="text/css" href="Templates/Base.css?v=50491105200" />
  <link id="OETemplate2" rel="stylesheet" type="text/css" href="Templates/Calque%20Menu.css?v=50491105200" />
  <script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.js"></script>
  <script type="text/javascript" src="WEFiles/Client/jQuery/migrate.js?v=50491105200"></script>
  <script type="text/javascript" src="WEFiles/Client/Common/oe.min.js?v=50491105200"></script>





-------------
https://denislafrance.net" rel="nofollow - https://denislafrance.net https://www.youtube.com/playlist?list=PLWg7A6YtIr7VtnP3HvRpMhx8tFJET_fih" rel="nofollow - , Formation vidéo sur OE


Posté par: Hobby001
Posté le: 24 Août 2020 à 12:28
Si vous le faites au niveau du serveur, je pense que les références à 

src="https://ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.js

Ne fonctionneront pas à moins de les y autoriser.

Certains éléments supplémentaires peuvent avoir été conçus avec des références externes, il faudra aussi les ajouter.


-------------
https://denislafrance.net" rel="nofollow - https://denislafrance.net https://www.youtube.com/playlist?list=PLWg7A6YtIr7VtnP3HvRpMhx8tFJET_fih" rel="nofollow - , Formation vidéo sur OE


Posté par: Hobby001
Posté le: 24 Août 2020 à 12:30
Il faudrait voir ce qui peut être fait pour que la balise meta puisse inclure toutes les références externes.  autorisées.

-------------
https://denislafrance.net" rel="nofollow - https://denislafrance.net https://www.youtube.com/playlist?list=PLWg7A6YtIr7VtnP3HvRpMhx8tFJET_fih" rel="nofollow - , Formation vidéo sur OE


Posté par: Hobby001
Posté le: 24 Août 2020 à 12:41
Ceci dit, quand je regarde le contenu de la page suivante du Gouvernement du Québec  https://www.quebec.ca/" rel="nofollow - https://www.quebec.ca/  . J'y vois le même type de référence que dans openElement.   

Le but de "Content-Security-Policy" est de prévenir qu'un malicieux se serve de votre page pour attaquer le visiteur à cause de l'incapacité des navigateurs à juger du contenu qu'ils exécutent, c'est là que les anti-virus et les anti-malware interviennent.

Les inter-actions passant par du code php éliminent beaucoup de ces risques si elles sont bien bâties.  Le formulaire OE passe par du code php.

J'ajoute que si vous ne collectez pas de données personnelles et/ou financières sur votre site, vous ne risquez pas de vous les faire voler.  



-------------
https://denislafrance.net" rel="nofollow - https://denislafrance.net https://www.youtube.com/playlist?list=PLWg7A6YtIr7VtnP3HvRpMhx8tFJET_fih" rel="nofollow - , Formation vidéo sur OE


Posté par: BMPS
Posté le: 24 Août 2020 à 14:42
Message posté par Hobby001 Hobby001 a écrit:

Ceci dit, quand je regarde le contenu de la page suivante du Gouvernement du Québec  https://www.quebec.ca/" rel="nofollow - https://www.quebec.ca/  . J'y vois le même type de référence que dans openElement.   

Le but de "Content-Security-Policy" est de prévenir qu'un malicieux se serve de votre page pour attaquer le visiteur à cause de l'incapacité des navigateurs à juger du contenu qu'ils exécutent, c'est là que les anti-virus et les anti-malware interviennent.

Les inter-actions passant par du code php éliminent beaucoup de ces risques si elles sont bien bâties.  Le formulaire OE passe par du code php.

J'ajoute que si vous ne collectez pas de données personnelles et/ou financières sur votre site, vous ne risquez pas de vous les faire voler.  


Vous devez avoir raison. En tout cas ça, même si les informations de mes clients (pro) ne sont pas sensibles sur le formulaire (et donc pas besoin d'aller plus loin le CSP), j'aime savoir que mon site est mieux sécurisé (enfin j'espère).
<doooouuuute>


-------------
Cordialement,



Imprimer la Page | Fermez la fenêtre

Forum Software by Web Wiz Forums® version 12.04 - http://www.webwizforums.com
Copyright ©2001-2021 Web Wiz Ltd. - https://www.webwiz.net