Comprendre les security headers

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Comprendre les security headers

    Bonjour,
    Je suis effarée par le résultat des tests sur : https://securityheaders.com au sujet des headers de sécurité comme :
    • Strict-Transport-Security
    • Content-Security-Policy
    • X-Frame-Options
    • X-Content-Type-Options
    • Referrer-Policy
    • Permissions-Policy
    Je ne comprends pas ce que c'est et du coup comment rectifier et sécuriser son site web ?
    Les pages du site étant générées par le CMS, pouquoi ces headers ne figurent pas d'office ?
    Est-ce un réglage dans Joomla et où et comment ? ou cela dépend de l'hébergeur et comment faire ?

    Merci pour votre aide

  • #2
    Bonjour,

    Il y a déjà eu plusieurs discussions sur ce sujet dans ce forum, dont https://forum.joomla.fr/forum/joomla...gin-httpheader

    Mais, vous pouvez aussi lire https://magazine.joomla.org/all-issu...eader-features qui pointe sur https://docs.joomla.org/J4.x:Http_Header_Management

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Bonjour

      Merci Pascal pour ton retour, j'avais vu ce post mais comme il date de 2018 et que l'on est en Joomla4 maintenant, j'ai donc reposé la question.
      Merci pour le lien mais j'ai peur que cela s'adresse à des personnes expérimentés car il faut savoir et comprendre ce qu'il faut paramétré dans le plugin. Pas de tutos pour des novices ou une configuration recommandée lambda qui peut convenir à la majorité des sites ?

      Existe-t'il un plugin de sécurité à installater sur Joomla ? est-ce nécessaire ?
      Dernière édition par titi222 à 15/01/2023, 11h39

      Commentaire


      • #4
        Bonsoir,

        Joomla 4 intègre le plugin http headers. Il suffit dans Système/ pavé Gestion menu Plugins de chercher http et cela montre le plugin système - en-têtes HTTP où l'on retrouve les paramètres évoqués dans les précédents messages.

        Pascal
        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

        Commentaire


        • #5
          Lorsque l'on active le plugin, il arrive avec le "minimum vital", x-frame-options activé, politique référencement sur strict-origin-when-cross-origin et Cross-Origin-Opener-Policy sur same-origin.

          Pour plaire à https://securityheaders.io/ , il faut ajouter quelques options.

          Dans "Forcer les entêtes HTTP", il faut ajouter un en-tête Permissions-Policy (disponible dans la liste) avec des paramètres camera=(), microphone=(),geolocation=() si vous ne les utilisez pas sur votre site.

          Concernant l'onglet HSTS, Yann (alias (daneel) avait bien expliqué son fonctionnement : https://forum.joomla.fr/forum/joomla...55#post1991955

          Dans CSP, vous pouvez ensuite activé le paramètre Politique de sécurité du contenu, pour lequel le paramètre Report-only est activé par défaut. Ce paramètre permet de voir au niveau de la console de votre explorateur (accessible par la touche F12 de votre clavier) s'il y a des erreurs liées à l'activation du CSP. S'il n'y en a pas, désactivez le report-only et passez tester votre site sur https://securityheaders.io/

          Vous devriez être passé en A voir A+ si votre site est bien en https.

          Pascal

          Five_Phil aime ceci.
          If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

          Commentaire


          • #6
            Bonjour
            J’avais soulevé aussi la question pour joomla 4. pas encore finalisé mais Pascal m'avait déjà répondu
            Bonsoir J'aimerai aller vers le A :D J'ai passé beaucoup de temps:o (car pas simple pour moi), j'ai cassé le site avec certains paramètre (cry) Tout ça pour arriver à un B correct! (mais peu mieux faire ! ). https://securityheaders.com/?q=cocha...owRedirects=on (https://securityheaders.com/?q=cochanger.eu&followRedirec
            Faciliter l'adoption du meilleur du Libre auprès du grand public https://clibre.eu/ - Connaissez-vous des communicants ... pour promouvoir joomla ? https://forum.joomla.fr/forum/th%C3%...mouvoir-joomla

            Commentaire


            • #7
              Bonjour à tous,
              Je vous demande pardon, je ne vous ai pas répondu mais mon planning a été full entre deux.
              Donc un grand merci pour vos retours, ça me parait technique pas pour les débutants quand même, mais je vois que vous m'avez mis pas mal de truc à voir

              Commentaire

              Annonce

              Réduire
              Aucune annonce pour le moment.

              Partenaire de l'association

              Réduire

              Hébergeur Web PlanetHoster
              Travaille ...
              X