Comprendre les security headers

**pmleconte** · 14/01/2023, 14h05

Bonjour,

Il y a déjà eu plusieurs discussions sur ce sujet dans ce forum, dont https://forum.joomla.fr/forum/joomla...gin-httpheader

Mais, vous pouvez aussi lire https://magazine.joomla.org/all-issu...eader-features qui pointe sur https://docs.joomla.org/J4.x:Http_Header_Management

Pascal

**titi222** · 15/01/2023, 11h37

Bonjour

Merci Pascal pour ton retour, j'avais vu ce post mais comme il date de 2018 et que l'on est en Joomla4 maintenant, j'ai donc reposé la question.
Merci pour le lien mais j'ai peur que cela s'adresse à des personnes expérimentés car il faut savoir et comprendre ce qu'il faut paramétré dans le plugin. Pas de tutos pour des novices ou une configuration recommandée lambda qui peut convenir à la majorité des sites ?

Existe-t'il un plugin de sécurité à installater sur Joomla ? est-ce nécessaire ?

**pmleconte** · 15/01/2023, 18h35

Bonsoir,

Joomla 4 intègre le plugin http headers. Il suffit dans Système/ pavé Gestion menu Plugins de chercher http et cela montre le plugin système - en-têtes HTTP où l'on retrouve les paramètres évoqués dans les précédents messages.

Pascal

**pmleconte** · 15/01/2023, 18h50

Lorsque l'on active le plugin, il arrive avec le "minimum vital", x-frame-options activé, politique référencement sur strict-origin-when-cross-origin et Cross-Origin-Opener-Policy sur same-origin.

Pour plaire à https://securityheaders.io/ , il faut ajouter quelques options.

Dans "Forcer les entêtes HTTP", il faut ajouter un en-tête Permissions-Policy (disponible dans la liste) avec des paramètres camera=(), microphone=(),geolocation=() si vous ne les utilisez pas sur votre site.

Concernant l'onglet HSTS, Yann (alias (daneel) avait bien expliqué son fonctionnement : https://forum.joomla.fr/forum/joomla...55#post1991955

Dans CSP, vous pouvez ensuite activé le paramètre Politique de sécurité du contenu, pour lequel le paramètre Report-only est activé par défaut. Ce paramètre permet de voir au niveau de la console de votre explorateur (accessible par la touche F12 de votre clavier) s'il y a des erreurs liées à l'activation du CSP. S'il n'y en a pas, désactivez le report-only et passez tester votre site sur https://securityheaders.io/

Vous devriez être passé en A voir A+ si votre site est bien en https.

Pascal

**herve** · 17/01/2023, 15h02

Bonjour
J’avais soulevé aussi la question pour joomla 4. pas encore finalisé mais Pascal m'avait déjà répondu

Plugin HTTPHeader avec joomla 4 - Forums Joomla.fr

https://forum.joomla.fr/forum/joomla-4-x-aa/questions-g%C3%A9n%C3%A9rales-aa/2046728-plugin-httpheader

Bonsoir J'aimerai aller vers le A :D J'ai passé beaucoup de temps:o (car pas simple pour moi), j'ai cassé le site avec certains paramètre (cry) Tout ça pour arriver à un B correct! (mais peu mieux faire ! ). https://securityheaders.com/?q=cocha...owRedirects=on (https://securityheaders.com/?q=cochanger.eu&followRedirec

**titi222** · 28/01/2023, 20h17

Bonjour à tous,
Je vous demande pardon, je ne vous ai pas répondu mais mon planning a été full entre deux.
Donc un grand merci pour vos retours, ça me parait technique pas pour les débutants quand même, mais je vois que vous m'avez mis pas mal de truc à voir

Comprendre les security headers

Comprendre les security headers

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association