Plugin HTTPHeader

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Plugin HTTPHeader

    Bonsoir,

    Pour info, un contributeur allemand assez actif ( Tobias Zulauf alias zone 24 ) a publié un plugin pour gérer les http headers, pour la politique de sécurité ( CSP ) mais aussi pour le preload HSTS (évoqué dans cette discussion : https://forum.joomla.fr/forum/joomla-3-x/questions--générales/1991742-activer-le-hsts-pourquoi-et-comment/ ) . Cela vous évite donc des modifications dans le fichier htaccess.

    Je l'ai traduit en français (n'hésitez pas à m'indiquer les fautes orthographiques) et disponible sur le compte github du développeur :
    This is a Joomla Plugin that provides setting of HTTP Headers - zero-24/plg_system_httpheader


    Il fonctionne avec Joomla 3 et sera normalement intégré nativement dans le package joomla 4 ( je l'espère ! ).

    C'est l'occasion de s'intéresser à la réalisation d'une Content Security Policy (CSP).

    Dans de nombreuses discussions, on a déjà évoqué la nécessité de créer la politique de sécurité sur vos sites et les sites de référence sur le sujet :

    https://www.cspisawesome.com/



    https://tools.geekflare.com/tools/csp-test


    L'explication intéressante en français étant celle de Dareboost :
    https://blog.dareboost.com/fr/2016/0...curity-policy/
    ou celle de Mozilla : https://developer.mozilla.org/fr/docs/Web/HTTP/CSP

    mais aussi l'indispensable documentation d'alsacreation à lire ou redécouvrir :
    https://www.alsacreations.com/articl...-securite.html

    Le plugin indique de nombreux liens vers la documentation en anglais de Scott Helme, co-fondateur du site :
    https://securityheaders.com/
    Le site SecurityHeaders permet d'analyser votre site avec une graduation de F (niveau le plus bas) à A+ (le top du top) suivant l'application des directives choisis dans votre politique de sécurité.
    L'obtention d'un grade A+ est assez difficile pour un site Joomla car cela demande une certaine rigueur et quelques contraintes. Personnellement, j'ai réussi mais avec des paramètres headers différents pour le backend (pour que des extensions comme JCE fonctionne correctement).

    Le grade "B" étant plus accessible (celui actuellement défini pour joomla.fr) :
    https://securityheaders.com/?q=https...owRedirects=on
    je vous invite à élever progressivement le niveau de sécurité.
    En effet, Il vaut mieux comprendre ce que l'on choisit comme directive avant de les appliquer.

    N'hésitez pas également à partager vos réussites ou echecs sur la mise en place d'une CSP et du HSTS Preload soit avec le plugin ou via le htaccess


    Note : La version du plugin fonctionne uniquement sur php7, zero24 ayant développé une version php 5.6 disponible sur son compte github
    https://github.com/zero-24/plg_syste...eader/releases
    Dernière édition par daneel à 09/12/2018, 10h23
    bruno28, pmleconte et 2 autres aiment ceci.
    Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

  • #2
    Bonjour Yann et merci pour ce long post très utile.

    Juste pour expliquer pourquoi joomla.fr a un score B...

    [EDIT]Score A maintenant car j'avais oublié de réactiver la ligne Header always set X-XSS-Protection "1; mode=block" dans le .htaccess[/EDIT]

    Pour un portail avec de multiples auteurs comme celui de joomla.fr ainsi que pour le forum, il est compliqué de définir des CSP strictes car pour ne prendre qu'un exemple un auteur d'un post sur le forum peut ajouter une image à son message, image stockée n'importe où (son site, un site d'hébergement d'images,...) et dans ce cas une gestion fine du img-src dans les headers http rendrait l'affichage des images réellement difficile.

    Sur un site dynamique il est aussi très compliqué de bloquer le inline css ou js d'où impossible d'atteindre un score A+ (sauf hack de fichiers, à refaire à chaque mise à jour).

    Comme tu l'indique fort bien il faut tendre vers... sans pour autant en faire un objectif final. Un A est déjà un très beau score.

    Merci pour tes différents liens, encore beaucoup de saines lectures au coin du feu.

    Bonne journée
    Dernière édition par cavo789 à 02/12/2018, 17h53
    woluweb aime ceci.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Bonjour.

      Merci Yann pour ce partage, le lien vers le fichier joint semble ne pas être valide.
      Cordialement.
      __
      Eddy !!!
      Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

      Commentaire


      • #4
        Bonjour,

        Effectivement, le forum bloque les fichiers zip.

        Tu peux le télécharger depuis mon compte github :
        https://github.com/YGomiero/plg_syst...eader/releases

        Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

        Commentaire


        • #5
          Merci Yann. Je vois ça plus tard. Suis en route...
          Cordialement.
          __
          Eddy !!!
          Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

          Commentaire


          • #6
            Bonjour,

            Excusez-moi de vous déranger, mais je souhaiterai solliciter votre aide concernant votre plugin.

            En effet, j'ai installé votre plugin et tout fonctionnai correctement.

            MAIS ...dans les paramètre du content security policy (CSP) j'ai inscris une liste de site dans la case VALUE, coché la case ADMINISTRATOR et j'ai enregistré.

            Tout les ressources (CSS, JS,IMAGE,ETC...) auxquels faisait référence la liste que j'avais inscrite est BLOQUE.

            Maintenant j'ai une simple page html de mon site qui répond juste au liens mais plus du tout au bouton sauvegarder.

            Je ne peux plus donc enlever ce que j'ai écris et résoudre mon problème.

            En supprimant le dossier httpheader dans www/plugin/system/httpheader, je n'ai plus de soucis. Mais des lorsque je réinstalle votre plug in, tout rebug ..

            Je pense que les informations que j'ai rentré sont stocké dans ma BDD. J'ai effectué des recherches et je ne trouve rien du tout correspondant a votre plugin dans ma BDD.

            Je souhaiterai directement supprimer les valeurs que j'ai rentré afin de résoudre mon problème et continuer ainsi a utiliser votre plug in.

            Je vous remercie.

            Dans l'attente d'une réponse.

            Commentaire


            • #7
              Si c'est la dernière extension installée, elle se trouvera tout à la fin de la table des extensions et donc tu pourras la supprimer. En supprimant ou renommant son répertoire, comme tu conserves l'entrée dans la table, la réinstallation va récupérer les paramétrages. Tu peux tenter de désinstaller dans la gestion des extensions après renommage ou suppression du dossier : reste à vérifier que malgré l'erreur ça supprimera la ligne dans la table (j'en doute).
              "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
              MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

              Commentaire


              • #8
                Bonjour

                Supprimer le dossier n'est pas suffisant puisque les paramètres enregistrés sont toujours présents. Il faut désactiver le plugin dans l'administration de joomla et ensuite modifier les valeurs dans l'administration du plugin.

                Commentaire


                • #9
                  Bonjour.

                  Sans trop chipoter, j'ai obtenu un A. Me manque les CSP et Feature-Policy pour lesquels je vais m'informer.
                  Cordialement.
                  __
                  Eddy !!!
                  Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                  Commentaire


                  • #10
                    Bonjour à tous,

                    Et merci à Yann une nouvelle fois, dès que j'ai un moment, je me précipite sur tes publications toujours pleines comme un œuf d'informations et d'urls.
                    Je n'ai pas encore pu appliquer Content Security Policy car si j'en ai bien compris la philosophie, j'ai encore un peu de mal à définir les différentes protections à mettre en place en fonction du site. Bon, j'ai lu qu'en utilisant Content-Security-Policy-Report-Only on ne risquait pas vraiment grand chose (pas de blocage sur le site) mais l'intérêt, n'est il alors pas bien moindre en terme de sécurité, ou bien je n'ai pas bien compris la leçon ?

                    Pour un site vitrine de base, sans inscription de membres, avec un formulaire de contact et la possibilité de s'inscrire à une newsletter, qui utilise GoogleFont et Analytics comme principales fonctionnalités, jusqu'où faudrait intelligemment pousser la sécurité ?

                    default-src 'self' ;
                    Avec cet exemple, je suppose que l'on bloque les scripts qui viennent de l'extérieur et certainement d'autres choses ?
                    Il faudrait donc ajouter :

                    script-src 'self' www.google-analytics.com ;
                    J'ai également du mal à comprendre à quoi correspond la valeur 'none' ...
                    Bon, je vais continuer mes recherches ...
                    Dernière édition par GraphiqueDesign à 22/12/2018, 01h59
                    "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                    https://www.graphiquedesign-bf.com/

                    Commentaire


                    • #11
                      Bonjour Daneel,
                      Bonjour tout le monde,

                      Je viens me greffer comme un cheveu sur la soupe de cette conversation terminée depuis des mois mais, comme à mon habitude, désolée, j'ai des questions de débutante

                      Puis-je mettre en place ce plugin en parallèle d'aeSecure premium ? Pas d'incompatibilité ou de marche sur les pieds ?

                      Je ne vois pas de "manuel", mais j'ai l'impression, en lisant le post de Yann au début de ce thread, qu'il est un peu contenu dans le plugin lui-même via les liens qu'il conseille.
                      Et bien j'espère, car bien que la lecture de la page dédiée à ce thème de sécurité sur Alsacreations soit très enrichissante, je dois bien avouer qu'une fois arrivée à la fin, j'ai complètement oublié tout ce que j'ai lu au début. C'est ça quand on lit du javanais...
                      Globalement, je ne sais pas si je suis la seule à fonctionner comme ça, mais quelques exemples feraient un grand bien pour aider à comprendre, pour savoir identifier les paramètres (les variables, ou quelle que soit la façon dont on les appelle) à instruire dans l'outil.

                      Bon.
                      Dès qu'on me dit si je dois désactiver ae avant de lancer ce plugin, je m'y mettrai étape par étape (et j'ai du chemin, beaucouuuuuuuuuup de chemin, vu que je suis... en F

                      A vous lire,
                      Bonne soirée.

                      Flo
                      Flo, Ariège

                      Il n'y a que celui qui a honte d'apprendre qui a peur de demander

                      Commentaire


                      • #12
                        Salut

                        Nul besoin de désactiver ae. Il faut juste ajouter quelques lignes dans le htaccess avec l'option 1.4 ou... utiliser le plugin.
                        Christophe (cavo789)
                        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                        Commentaire


                        • #13
                          Bonjour Flo.

                          Aucune contradiction à utiliser httpheader avec aeSecure.

                          Le plugin s'utilise très facilement en se guidant du site https://securityheaders.com/
                          et de l'inspecteur du navigateur pour les CSP.
                          Je ne suis pas sûr mon PC mais je peux faire un screenshot demain pour te montrer.
                          Dernière édition par Eddy.vh à 29/04/2019, 19h06
                          Cordialement.
                          __
                          Eddy !!!
                          Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                          Commentaire


                          • #14
                            Bonsoir,

                            J'ai fait une petite présentation sur ce plugin et ce n'est malheureusement pas encore en ligne sur le site des joomladays.

                            Donc, un lien qui peut vous être utile : https://www.conseilgouz.com/espace-t...19-httpheaders

                            Naturellement, en cas de problèmes (tout n'est pas aussi simple), n'hésitez pas à revenir ici poser vos questions.

                            Pascal

                            PS: j'utilise AESecure en même temps que httpheaders et je n'ai vu de problème.
                            If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                            Commentaire


                            • #15
                              Hello,
                              pour info.
                              Il apparait que ce plugin a été intégré dans joomla 4.
                              Il existe même une doc :

                              J4.x:Http Header Management - Joomla! Documentation

                              Un message d’erreur sur votre site Joomla ... ayez le reflexe de consulter lla base de connaissance : https://kb.joomla.fr

                              Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X