Question sur les entêtes http, HSTS et CSP

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • #16
    j'ai ajouté unsafe-inline qui me semble être la bonne formulation.

    Le test Lighthouse considère que c'est un mauvaise pratique :
    ciences.com:21:0 Refused to execute inline event handler because it violates the following Content Security Policy directive: "script-src 'strict-dynamic' 'nonce-NDQ5YjgxNzhkZmIwMjA1ZDEzNzU2MjBhZDFhYmNjZmM1MGM0ND g2MjZkMTFhZTQ2NjhmNTQ4ODEyMGFkYjIxZjU1ZWY4NmFiYTUw ODQ4NGEwNGIxODZkZWU1Yzk2MGZiODI2ZTY4NzQ3MTFjNzc1ND Q0ODhiMWM3NDI5OTc2Yjg=' 'self' 'unsafe-inline' https://philosciences.com https://*.philosciences.com". Note that 'unsafe-inline' is ignored if either a hash or nonce value is present in the source list.

    Mais je crois qu'il se trompe. Un nonce et unsafe sont incompatibles mais certains navigateurs ne prenant pas en charge les nonces ils ont besoin de 'unsafe-inline'.

    Voilà ce que​ je comprends.....

    Commentaire


    • #17
      Oui, en 2023, les balises <script> et <style> devraient être bannies des templates, sauf dans le <head> évidement, c'est ma conviction, mais voila... seulement ... ca se passe pas comme ca...
      Pour faire un nonce, faut quasi obligatoirement aller modifier le core d'un cms ou d'un plugin/module pour y mettre un ID, ce qui est aussi une mauvaise pratique dans tout les cas et de toutes façons ... Après je n'ai pas encore appris a faire des overrides sous Joomla!, mais je doute que ce soit possible d'une part, et d'autre, je doute que mes sites soit en proie d'un hacker acharné a chercher la moindre faille de sécurité héhéhé (d'autant plus que la, s'en est pas vraiment une si on regarde de plus près, faudrait avoir du JS inline qui interagisse avec la BDD par exemple)

      Cliquez sur l'image pour l'afficher en taille normale

Nom : Capture d’écran 2023-04-10 104823.png 
Affichages : 126 
Taille : 23,6 Ko 
ID : 2050242
      Quand tu vois ce que font les agences d'une banque, tu peux etre fier d'avoir un A !
      Dernière édition par Fred2FR3 à 10/04/2023, 09h50

      Commentaire


      • #18
        Envoyé par pmleconte Voir le message
        Bonjour Robert,

        Pour le permissions-policy, cela se passe sur le 1er onglet.

        Cliquez sur l'image pour l'afficher en taille normale

Nom : httpheader.jpg 
Affichages : 289 
Taille : 75,0 Ko 
ID : 2050201
        N'abuses pas sur les chocolats,
        Pascal
        cest quel plugin ?
        merci

        Commentaire


        • #19
          Bonjour,

          En Joomla 4, il s'appelle du plugin système Entêtes HTTP (httpheaders).

          Si vous êtes passé par Joomla 3, il peut rester l'ancien plugin httpheader sans s, développé par la même personne. Cet ancien plugin est à supprimer à la main car il ne l'était pas automatiquement.

          Pascal
          If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

          Commentaire


          • #20
            merci ! ca me donne un A+ sans effort :-)
            Dernière édition par tradeymag à 13/04/2023, 11h13

            Commentaire


            • #21
              si je teste sur https://www.serpworx.com/check-security-headers/?url=....

              il manque :
              X Permitted Cross Domain Policies
              Feature Policy​
              Expect CT​

              meme manque ici https://domsignal.com

              savez vous comment les ajouter et quels paramètres ?

              merci
              Dernière édition par tradeymag à 13/04/2023, 12h15

              Commentaire


              • #22
                Les réponses et des détails te son donnés a la suite des résultats !
                Dernière édition par Fred2FR3 à 13/04/2023, 12h25

                Commentaire


                • #23
                  Envoyé par tradeymag Voir le message
                  si je teste sur https://www.serpworx.com/check-security-headers/?url=....

                  il manque :
                  X Permitted Cross Domain Policies
                  Feature Policy​
                  Expect CT​

                  meme manque ici https://domsignal.com

                  savez vous comment les ajouter et quels paramètres ?

                  merci
                  Bonjour,
                  Ces entêtes sont marqués "deprecated". Feature Policy a été remplacé par permissions-policy, x-permitted-cross-domain-policies par Same-Origin Policy. Je n'ai pas trouvé ce qui remplace Expect-CT mais il est marqué en gros "deprecated" lui aussi : https://developer.mozilla.org/en-US/...b/HTTP/Headers

                  Pascal
                  If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                  Commentaire


                  • #24
                    ok ! merci
                    et pour les upcoming ?
                    Cross-Origin-Embedder-Policy
                    Cross-Origin-Resource-Policy

                    Dernière édition par tradeymag à 13/04/2023, 12h54

                    Commentaire


                    • #25
                      Si je ne me trompe pas, faut activer les CORS dans le plugin.

                      [EDIT] pas dans le plugin, dans les configurations globales > Serveur.

                      Mais attends un avis plus avisé, je ne connais pas bien Joomla! et ce sont des paramètres très sensibles.
                      Dernière édition par Fred2FR3 à 13/04/2023, 13h11

                      Commentaire


                      • #26
                        En fait, ces entêtes sont prévus dans le fichier htaccess.txt fourni avec Joomla.

                        Cependant, ils peuvent être trop bloquants en n'autorisant pas l'appel aux scripts externes par exemple. Donc, ils sont là, mais en commentaire (lignes 45 à 51).

                        Donc, vous pouvez les activer, en vérifiant bien que votre site est toujours fonctionnel.

                        Pascal
                        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                        Commentaire


                        • #27
                          Par exemple, je viens de les activer sur un site de test et j'ai une erreur :

                          get http://use.fontawesome.com/releases/v6.3.0/css/all.css net::ERR_BLOCKED_BY_RESPONSE.NotSameOriginAfterDef aultedToSameOriginByCoep 200 (OK)

                          Donc, bien lire la doc avant mise en œuvre : https://scotthelme.co.uk/coop-and-coep/

                          Pascal
                          If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                          Commentaire


                          • #28
                            merci pour ces infos
                            je vais essayer car je n ai aucun jquery ni js dans mon head et le site n'utilise aucun javascript

                            Commentaire


                            • #29
                              Juste pour voir si cela fonctionne, il y a des commandes report-only : Cross-Origin-Opener-Policy-Report-Only et Cross-Origin-Embedder-Policy-Report-Only​

                              voir https://web.dev/cross-origin-isolation-guide/
                              If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                              Commentaire


                              • #30
                                Envoyé par Fred2FR3 Voir le message
                                Si je ne me trompe pas, faut activer les CORS dans le plugin.

                                [EDIT] pas dans le plugin, dans les configurations globales > Serveur.

                                Mais attends un avis plus avisé, je ne connais pas bien Joomla! et ce sont des paramètres très sensibles.
                                je viens d'activer ca sur mon site et je nais aucune erreur

                                Commentaire

                                Annonce

                                Réduire
                                Aucune annonce pour le moment.

                                Partenaire de l'association

                                Réduire

                                Hébergeur Web PlanetHoster
                                Travaille ...
                                X