SecurityReport Summary

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] SecurityReport Summary

    Bonjour,

    Je suis bénévole à Artisans du Monde La Rochelle et j'essaye de maintenir le site www.admlarochelle.com en version 3.9.27

    Suite à la lecture d'un post de betterweb, je suis arrivé sur la page de securityheaders.com et je me retrouve avec 5 pavés rouges sur 6, moi qui pensait respecter les préconisations

    Que faire pour repasser les : Strict-Transport-Security Content-Security-Policy X-Frame-Options X-Content-Type-Options Referrer-Policy au vert ?
    Je ne vois pas vraiment ou l'on peut modifier dans l'IHM Admin !!! Il faut éditer des fichiers PHP et autres je suppose ?

    Merci

    Cliquez sur l'image pour l'afficher en taille normale

Nom : Capture d’écran 2021-06-01 à 18.01.02.png 
Affichages : 53 
Taille : 261,9 Ko 
ID : 2027817

  • #2
    Excusez, je n'avais pas vu qu'une file a été créé en 2017 !

    Donc pour le peu que je comprends je peux ajouter dans mon .htaccess :

    -1 Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

    -2 Content-Security-Policy: default-src * data: ; script-src * 'unsafe-inline' 'unsafe-eval' ; style-src * 'unsafe-inline' data: ; frame-ancestors 'none' ; base-uri 'self' ;

    -3 Header set X-Frame-Options "DENY"

    -4 <IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
    </IfModule>

    -5 Referrer-Policy: "no-referrer"

    les - et chiffres seront retirés bien-sur

    Vous en pensez quoi ?

    Commentaire


    • #3
      Bonsoir,

      Nous avons eu une longue discussion à propos du plugin http headers https://forum.joomla.fr/forum/joomla...gin-httpheader

      Il sera intégré dans Joomla 4.

      Pascal
      If anything can go wrong, it will...
      If I can help, I will ..https://conseilgouz.com

      Commentaire


      • #4
        En attendant, vous pouvez effectivement avoir :

        1) <IfModule mod_headers.c>
        Header always set Strict-Transport-Security "max-age=31536000" env=HTTPS
        </IfModule>

        2) La CSP par défaut ne sert pas à grand chose puisque dans le fond vous autorisez tout ! Il vaut mieux commencer par quelque chose de strict et de vérifier dans la console du navigateur s'il y a des erreurs.
        A titre d'info, ma CSP est la suivante :

        Header set Content-Security-Policy: "base-uri 'self'; default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' d1sn4l25wts1t9.cloudfront.net *.google-analytics.com *.googletagmanager.com *.googletagservices.com cdn.ampproject.org *.facebook.net *.linkedin.com *.googleapis.com *.google.com *.google.fr *.googlesyndication.com *.doubleclick.net *.ipify.org *.iubenda.com *.acyba.com *.youtube.com *.ytimg.com *.gstatic.com *.jquery.com *.cloudflare.com *.jsdelivr.net; style-src 'self' 'unsafe-inline' d1sn4l25wts1t9.cloudfront.net *.googleapis.com maxcdn.boo *.bootstrapcdn.com *.google.com *.jsdelivr.net; img-src 'self' *.betterweb.fr data: d1sn4l25wts1t9.cloudfront.net *.google-analytics.com *.googletagmanager.com stats.g.doubleclick.net *.acyba.com *.facebook.com static.licdn.com *.linkedin.com traffic.alexa.com *.semrush.com csi.gstatic.com *.google.com *.google.fr zxing.org *.googleapis.com *.norrnext.com *.licdn.com *.joomla.org *.unsplash.com pixabay.com *.pexels.com *.tassos.gr *.iubenda.com api.ecologi.com; child-src 'self' *.facebook.com *.facebook.net *.youtube.com *.youtube-nocookie.com *.googletagmanager.com *.acyba.com *.linkedin.com *.iubenda.com *.gstatic.com *.google.com *.doubleclick.net *.joomunited.com; font-src 'self' data: fonts.gstatic.com d1sn4l25wts1t9.cloudfront.net fonts.googleapis.com *.bootstrapcdn.com *.jsdelivr.net; connect-src 'self' api.ipify.org *.google-analytics.com *.doubleclick.net *.ampproject.net *.googletagmanager.com *.google.com *.google.fr *.appspot.com *.youtube.com *.linkedin.com *.iubenda.com *.cdnjs.com *.facebook.com yootheme.com; media-src 'self' *.amazonaws.com *.googlesyndication.com; upgrade-insecure-requests; report-uri https://betterweb.report-uri.com/r/d/csp/enforce;"

        <FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ic[os]|jpe?g|m?js|json(ld)?|m4[av]|manifest|map|markdown|md|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|top ojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|webmanifest|woff2?|xloc|xml|xpi)$">
        Header unset Content-Security-Policy
        </FilesMatch>

        3) "DENY" est probablement trop strict :

        <IfModule mod_headers.c>

        Header always append X-Frame-Options SAMEORIGIN

        # The `X-Frame-Options` response header should be send only for
        # HTML documents and not for the other resources.

        <FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|top ojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|woff2?|xloc|xml|xpi)$">
        Header unset X-Frame-Options
        </FilesMatch>

        4)<IfModule mod_headers.c>
        Header set X-Content-Type-Options "nosniff"
        </IfModule>

        5) No referrer est trop limitatif :

        <IfModule mod_headers.c>
        Header always set Referrer-Policy "no-referrer-when-downgrade"
        </IfModule>
        phelibre aime ceci.
        Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
        Administrateur certifié Joomla! 3
        https://www.betterweb.fr

        Commentaire


        • #5
          Merci de votre aide jfque, dès que je peux je vais mettre à jour mon .htaccess

          Cordialement

          Commentaire


          • #6
            Voilà j'ai ajouté les lignes dans mon fichier .htaccess mais toujours les mêmes alertes !! Je suis en hébergement mutualisé chez online et pas d'administration du serveur nginx, je ne sais pas si il y a un rapport ?

            Merci,

            Commentaire


            • #7
              Si votre serveur est nginx, je pense que les fichiers .htaccess ne fonctionnent pas. Il y a un autre type de fichier à utiliser (mais je n'ai jamais exploré).
              Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
              Administrateur certifié Joomla! 3
              https://www.betterweb.fr

              Commentaire


              • #8
                Il semblerait que Oui d'après la online, enfin je viens de mettre le htaccess natif Joomla, cela mais une erreur ! je remets celui que j'utilisais et ça redevient bon ... Finalement le site de test securityheaders.com se trompe, en regardant sous Joomla Info site j'ai Apache/2.4.10 (Ubuntu)

                Voilà mon fichier qui fonctionne htaccess.txt

                Encore merci
                Fichiers joints
                Dernière édition par phelibre à 03/06/2021, 16h27

                Commentaire


                • #9
                  Le site securityheaders se contente de lire les en-têtes envoyées par le serveur et vous pouvez voir toutes ces données vous-mêmes via les outils pour développeurs de votre navigateur (dans l'onglet "Réseau"). Vous verrez que le serveur qui est signalé est bien nginx.
                  Cela peut vouloir dire que le serveur du site est Apache mais que l'hébergeur passe par un serveur proxy nginx qui sert d'accélérateur et c'est lui qui est "vu" par le réseau.
                  Dans ce cas, est-ce que les directives du .htaccess sont prises en charge ? Je n'en sais rien mais vous devriez pouvoir le tester, par exemple via la CSP : vous enlever un service qui devrait y être (par exemple si vous afficher des boutons de partage Facebook, vous enlever *.facebook.com de la section "script") et vous voyez si le bouton s'affiche toujours ou pas. Si oui, votre .htaccess ne fait rien, si non, ça fonctionne, même si le test dit le contraire.
                  Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
                  Administrateur certifié Joomla! 3
                  https://www.betterweb.fr

                  Commentaire


                  • #10
                    Bonjour,

                    Oui online m'a répondu dans votre sens :

                    Nous avons 2 load balancers qui tournent nginx , et qui forward des requêtes vers nos PF. Dans les PF ce sont des containers apache qui tournent pour chaque site. Nos PF sont donc bien sous Apache à ce niveau là.

                    Si je comprends Apache tourne dans un container par entité dans le serveur mutualisé mais côté internet c'est nginx qui est visible ... Si .htaccess n'est conforme j'ai une erreur, il est donc bien pris en compte. Il est peut-être possible que securityheaders.com prend en compte nginx comme serveur à la place d'apache et donc une source d'erreurs ...

                    Merci,

                    Commentaire

                    Annonce

                    Réduire
                    1 sur 2 < >

                    C'est [Réglé] et on n'en parle plus ?

                    A quoi ça sert ?
                    La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                    Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                    Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                    Comment ajouter la mention [Réglé] à votre discussion ?
                    1 - Aller sur votre discussion et éditer votre premier message :


                    2 - Cliquer sur la liste déroulante Préfixe.

                    3 - Choisir le préfixe [Réglé].


                    4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                    2 sur 2 < >

                    Assistance au forum - Outil de publication d'infos de votre site

                    Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                    Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                    Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                    UTILISER À VOS PROPRES RISQUES :
                    L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                    Problèmes connus :
                    FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                    Installation :

                    1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                    Archive zip : https://github.com/AFUJ/FPA/zipball/master

                    2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                    3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                    4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                    5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                    6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                    et remplacer www. votresite .com par votre nom de domaine


                    Exemples:
                    Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/
                    Pour executer le script: http://www..com/fpa-fr.php

                    Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/cms/
                    Pour executer le script: http://www..com/cms/fpa-fr.php

                    En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                    Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                    Voir plus
                    Voir moins

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X