Définition des directives de sécurité Headers CSP

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Définition des directives de sécurité Headers CSP

    Mon environnement: Joomla 3.9.5, Community Builder (dernière version)

    Je n'arrive pas à définir une directive CSP, même la plus simple qui soit pour protéger mon site.
    J'ai essayé les 2 techniques d'implémentation:
    • avec une définition dans mon fichier .htaccess,
    • ou à l'aide du plugin dédié "http".
    Que j'utilise l'une ou l'autre de ces techniques, je crée un dysfonctionnement de CB: blocage dans l'affichage de profil de membre, dans la modification d'un profil, etc...

    Question: qui pourrait me préciser l'écriture eacte et la plus basique d'une directive CSP ?

    Merci, et bon dimanche.
    Dernière édition par Visiteur à 14/04/2019, 04h02

  • #2
    Bonjour,

    Lors des joomladays à Paris, j'ai fait une présentation "express" des headers et du CSP. Ce n'est pas encore en ligne sur le site des joomladays, mais vous pouvez retrouver la présentation sur mon site : https://www.conseilgouz.com/espace-t...19-httpheaders

    En espérant que cela réponde à votre problème, bon dimanche,

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Envoyé par lendrevi Voir le message
      ....Que j'utilise l'une ou l'autre de ces techniques, je crée un dysfonctionnement de CB: blocage dans l'affichage de profil de membre, dans la modification d'un profil, etc...
      Au niveau de la console de votre explorateur, avez-vous des messages d'erreur ? un lien vers le site ou une copie écran des messages d'erreur permettrait de vous aider.

      Pascal
      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

      Commentaire


      • #4
        Bonjour lendrevi et Pascal.

        Pour mettre en place une CSP avec le plugin HTTPHeaders, c'est très simple.

        Il faut commencer par une CSP par défaut qui autorise uniquement le contenu du site :

        Politique via les directives -> default-src
        Valeur -> 'self'

        Ensuite il faut vérifier toutes les pages du site à l'aide de la console afin de relever les erreurs et mettre en place une CSP pour chacune d'elles.

        p.ex. Imaginons que tu utilises Google Analytics et le reCaptcha de Google. En testant tes pages, la console affichera une ou plusieurs erreurs comme ceci :

        Cliquez sur l'image pour l'afficher en taille normale  Nom : Capture_ 2019-04-14 à 11.59.52.jpg  Affichages : 0  Taille : 45,4 Ko  ID : 1999213
        La console te dis la CSP qu'il faut ajouter -> script-src… et l'url bloquée qu'il faut autoriser.

        Tu te rends dans le plugin HTTPHeaders et tu ajoutes une règle, tu lui donne script-src comme politique et comme valeur 'self' 'unsafe-inline' www.google-analytics.com www.google.com ('unsafe-inline' autorise les scripts inline que tu aurais éventuellement sur ton site. À ne renseigner que si strictement nécessaire).

        Les URL's sont à indiquer sans le http(s) mais impérativement avec le www si l'URL en est formée.

        Tu restestes la page et ajoutes les directives une à une jusqu'à ce qu'il n'y ait plus d'erreur.

        Tu continues alors les tests sur toutes tes pages afin de t'assurer que tu autorises bien les ressources utiles au fonctionnement de ton site.

        Comme polices tu retrouveras peut-être :
        script-src, img-src, style-src, frame-src, font-src, form-action, etc.
        Dernière édition par Eddy.vh à 14/04/2019, 11h12
        Cordialement.
        __
        Eddy !!!
        Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

        Commentaire


        • #5
          Bonjour Pascal & Eddy,

          J'avais déjà tenté les 2 directives décrites par Eddy pour paramétrer le plugin "HTTPHeaders". Et avec ces mêmes paramètres.
          Je bloquais le fonctionnement de CB (community builder) dès l'application de la plus basique des 2 directives CSP (la 1ère).

          Mais je viens de trouver: je ne dois mettre que la seule deuxième directive. Et tout fonctionne proprement en front-end, et aucun message dans la console de Firebug.

          Grand merci à vous 2. Et bonne soirée !
          Dernière édition par Visiteur à 14/04/2019, 17h49

          Commentaire


          • #6
            Si le problème est réglé merci de l'indiquer.
            Pour cela voir l'encadré ci-dessous.
            Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.
            Confucius

            Commentaire


            • #7
              Envoyé par lesoutier Voir le message
              Si le problème est réglé merci de l'indiquer.
              Pour cela voir l'encadré ci-dessous.
              Mille excuses, complètement oublié. Je le fais de ce pas.

              Commentaire

              Annonce

              Réduire
              Aucune annonce pour le moment.

              Partenaire de l'association

              Réduire

              Hébergeur Web PlanetHoster
              Travaille ...
              X