Tweet
Bonsoir,
Pour info, un contributeur allemand assez actif ( Tobias Zulauf alias zone 24 ) a publié un plugin pour gérer les http headers, pour la politique de sécurité ( CSP ) mais aussi pour le preload HSTS (évoqué dans cette discussion : https://forum.joomla.fr/forum/joomla-3-x/questions--générales/1991742-activer-le-hsts-pourquoi-et-comment/ ) . Cela vous évite donc des modifications dans le fichier htaccess.
Je l'ai traduit en français (n'hésitez pas à m'indiquer les fautes orthographiques) et disponible sur le compte github du développeur :
Il fonctionne avec Joomla 3 et sera normalement intégré nativement dans le package joomla 4 ( je l'espère ! ).
C'est l'occasion de s'intéresser à la réalisation d'une Content Security Policy (CSP).
Dans de nombreuses discussions, on a déjà évoqué la nécessité de créer la politique de sécurité sur vos sites et les sites de référence sur le sujet :
https://www.cspisawesome.com/
https://tools.geekflare.com/tools/csp-test
L'explication intéressante en français étant celle de Dareboost :
https://blog.dareboost.com/fr/2016/0...curity-policy/
ou celle de Mozilla : https://developer.mozilla.org/fr/docs/Web/HTTP/CSP
mais aussi l'indispensable documentation d'alsacreation à lire ou redécouvrir :
https://www.alsacreations.com/articl...-securite.html
Le plugin indique de nombreux liens vers la documentation en anglais de Scott Helme, co-fondateur du site :
https://securityheaders.com/
Le site SecurityHeaders permet d'analyser votre site avec une graduation de F (niveau le plus bas) à A+ (le top du top) suivant l'application des directives choisis dans votre politique de sécurité.
L'obtention d'un grade A+ est assez difficile pour un site Joomla car cela demande une certaine rigueur et quelques contraintes. Personnellement, j'ai réussi mais avec des paramètres headers différents pour le backend (pour que des extensions comme JCE fonctionne correctement).
Le grade "B" étant plus accessible (celui actuellement défini pour joomla.fr) :
https://securityheaders.com/?q=https...owRedirects=on
je vous invite à élever progressivement le niveau de sécurité.
En effet, Il vaut mieux comprendre ce que l'on choisit comme directive avant de les appliquer.
N'hésitez pas également à partager vos réussites ou echecs sur la mise en place d'une CSP et du HSTS Preload soit avec le plugin ou via le htaccess
Note : La version du plugin fonctionne uniquement sur php7, zero24 ayant développé une version php 5.6 disponible sur son compte github
https://github.com/zero-24/plg_syste...eader/releases
Pour info, un contributeur allemand assez actif ( Tobias Zulauf alias zone 24 ) a publié un plugin pour gérer les http headers, pour la politique de sécurité ( CSP ) mais aussi pour le preload HSTS (évoqué dans cette discussion : https://forum.joomla.fr/forum/joomla-3-x/questions--générales/1991742-activer-le-hsts-pourquoi-et-comment/ ) . Cela vous évite donc des modifications dans le fichier htaccess.
Je l'ai traduit en français (n'hésitez pas à m'indiquer les fautes orthographiques) et disponible sur le compte github du développeur :
Il fonctionne avec Joomla 3 et sera normalement intégré nativement dans le package joomla 4 ( je l'espère ! ).
C'est l'occasion de s'intéresser à la réalisation d'une Content Security Policy (CSP).
Dans de nombreuses discussions, on a déjà évoqué la nécessité de créer la politique de sécurité sur vos sites et les sites de référence sur le sujet :
https://www.cspisawesome.com/
https://tools.geekflare.com/tools/csp-test
L'explication intéressante en français étant celle de Dareboost :
https://blog.dareboost.com/fr/2016/0...curity-policy/
ou celle de Mozilla : https://developer.mozilla.org/fr/docs/Web/HTTP/CSP
mais aussi l'indispensable documentation d'alsacreation à lire ou redécouvrir :
https://www.alsacreations.com/articl...-securite.html
Le plugin indique de nombreux liens vers la documentation en anglais de Scott Helme, co-fondateur du site :
https://securityheaders.com/
Le site SecurityHeaders permet d'analyser votre site avec une graduation de F (niveau le plus bas) à A+ (le top du top) suivant l'application des directives choisis dans votre politique de sécurité.
L'obtention d'un grade A+ est assez difficile pour un site Joomla car cela demande une certaine rigueur et quelques contraintes. Personnellement, j'ai réussi mais avec des paramètres headers différents pour le backend (pour que des extensions comme JCE fonctionne correctement).
Le grade "B" étant plus accessible (celui actuellement défini pour joomla.fr) :
https://securityheaders.com/?q=https...owRedirects=on
je vous invite à élever progressivement le niveau de sécurité.
En effet, Il vaut mieux comprendre ce que l'on choisit comme directive avant de les appliquer.
N'hésitez pas également à partager vos réussites ou echecs sur la mise en place d'une CSP et du HSTS Preload soit avec le plugin ou via le htaccess
Note : La version du plugin fonctionne uniquement sur php7, zero24 ayant développé une version php 5.6 disponible sur son compte github
https://github.com/zero-24/plg_syste...eader/releases
Commentaire