Bonjour Jean-François.

Il y a des choses qui sont malheureusement inaccessibles depuis un hébergement mutualisé et nombreux sont dans ce cas. Il est dès lors difficile de sécuriser au niveau du serveur.
Je pense cependant que ces hébergements sont un minimum sécurisés par leur offrants.

D'un côté, c'est vrai qu'il est inutile de devenir paranoïaque…

Ce n'était pas tout à fait le sens de mon commentaire parce que malheureusement, du point de vue humain en tout cas, si, il faut être paranoïaque quand on parle de sécurité sur Internet. Parce que vous ne savez jamais qui est à "l'autre bout du fil". Un robot ? Un humain ? Bien ou mal intentionné ?
Donc il faudra toujours partir du principe qu'il y a quelqu'un qui voudra vous attaquer (d'accord, je crois que le vrai paranoïaque pense que TOUT LE MONDE veut l'attaquer) et il faut s'y préparer, mais en évaluant bien les priorités : ça ne sert à rien de passer des heures à "bétonner" une CSP pour un site accessible en FTP protégé par le même mot de passe envoyé par email il y a 5 ans par votre hébergeur et sur le serveur duquel vous conservez religieusement toutes les versions précédentes de votre site depuis sa première version en Mambo (exemple vécu avec de récents clients).
Le principal est donc de toujours bien comprendre les concepts auxquels on est confronté, pour pouvoir évaluer correctement les mesures à prendre, même si celles-ci dépassent nos compétences.

pmleconte

je te réponds à ma question, hmmm ..
Ca été une recherche un peu compliquée.

Bon, la série de chiffres susnommée correspond à un MD5 checksum.
Référence
md5sum - Wikiwand


Une explication :
Md5Checker

Autres explications:
md5sum - Vérifier l'intégrité des téléchargements


What is checksum and how to calculate and use checksum values


C'est un processus mis en place sur joomla depuis 2015:
Why URLs of CSS / JS files do not have a version/hash variable appended to their URLs to bypass browser cache after upgrade · Issue #8118 · joomla/joomla-cms


Perso, pour charger des fichiers JS ou des CSS, j'applique toujours cette routine :
Ce qui me donne systématiquement ce fameux md5 checksum.

Je complète par une réponse sur la question originale concernant sha256.

Par exemple, quand on appelle le script jQuery par le CDN officiel, on obtient ceci :
Ce qui corresponds à un "contrôle d'intégrité des sous-ressources".
Définition ici:

Bonjour,
Je remonte ce sujet un peu ancien pour quelques conseils sur ce plugin. En effet, sur le site d'un ami, j'obtiens une note B sur SecurityHeaders mais je suis bien embêté pour corriger les problèmes remontés, n'étant pas webmaster mais juste un passionné.
Pourrais-je obtenir un peu d'aide de votre part ?
D'avance, merci beaucoup

Edit : j'édite mon message car, en désactivant "Rapport uniquement", le site est passé en A sur SecurityHeaders. Par contre, je suis toujours intéressé pour un avis et des conseils sur les Permissions-Policy

Bonjour Zwitefli

tu peux jeter un coup d’œil par là :







Bonne journée

Bruno

Merci bien. Dommage que ce soit en anglais (sauf celui de Mozilla)... et je n'ai pas forcément tout compris
Pour un site qui n'a pas besoin de camera, de micro, de géolocalisation... qqch du style : Feature-Policy: microphone 'none'; geolocation 'none' peut suffire ?
Ca se remplit dans le plugin ou le HTAccess ?

Bonjour Zwitefli

Je ne sais pas bien, mais il y a des spécialistes dans ce fil de discussion qui pourront te répondre

Bonne journée

Bruno