Politique de sécurité

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Politique de sécurité

    J'aimerais inclure dans le fichier .htaccess une instruction concernant "la politique de sécurité relative à la provenance des ressources (cf. CSP)", telle que celle-ci fort basique:

    Code HTML:
    Header set Content-Security-Policy "script-src 'self' "
    Le résultat fonctionne presque trop bien ... puisqu'il m'empêche alors toute modification ultérieure en mode Admin, et perturbe le fonctionnement de mon plugin "fast social share" (réduit à sa plus simple expression). Pour ce dernier point, j'ai tenté d'ajouter dans cette instruction les 3 url concernant facebook, twitter et linkedin. Mais cela ne change strictement rienau dysfonctionnement dudit plugin !

    Question: peut-on écrire cette directive sans les perturburbations décrites ci-dessus ?

    Merci.

  • #2
    Bonjour,

    Lors de JoomlaDays, j'ai fait une présentation sur le CSP et la sécurité via les Headers HTTP.

    La présentation "officielle" n'est pas encore en ligne sur le site des JoomlaDays (c'est en cours), mais, vous pouvez la retrouver : https://www.conseilgouz.com/espace-t...19-httpheaders

    Personnellement, j'utilise plutôt le plugin httpheaders https://github.com/zero-24/plg_syste...eader/releases au lieu de "taper" dans le .htaccess.

    Le plugin a un mode "Rapport seulement" qui permet de tester les commandes CSP et on peut n'appliquer le CSP qu'au site, qu'à l'admin ou aux deux.

    Pascal
    Dernière édition par pmleconte à 17/03/2019, 12h30
    cavo789 aime ceci.
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Salut Pascal, merci pour le lien.

      Pour sûr, si j'avais été présent aux JDays cette année, je n'aurai raté ta conf pour rien au monde.

      Merci pour cet énorme travail de compilation, de tests et ce retour.
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Envoyé par pmleconte Voir le message
        Bonjour,

        Lors de JoomlaDays, j'ai fait une présentation sur le CSP et la sécurité via les Headers HTTP.

        La présentation "officielle" n'est pas encore en ligne sur le site des JoomlaDays (c'est en cours), mais, vous pouvez la retrouver : https://www.conseilgouz.com/espace-t...19-httpheaders

        Personnellement, j'utilise plutôt le plugin httpheaders https://github.com/zero-24/plg_syste...eader/releases au lieu de "taper" dans le .htaccess.

        Le plugin a un mode "Rapport seulement" qui permet de tester les commandes CSP et on peut n'appliquer le CSP qu'au site, qu'à l'admin ou aux deux.

        Pascal
        Excellent. Merci Pascal.
        Bon dimanche !

        Commentaire

        Annonce

        Réduire
        Aucune annonce pour le moment.

        Partenaire de l'association

        Réduire

        Hébergeur Web PlanetHoster
        Travaille ...
        X