Question sur les entêtes http, HSTS et CSP

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • #46
    Bonjour,

    Je suis en train de tester un site en ayant ajouté
    camera=(),microphone=(),geolocation=(self)
    pour permissions.policy
    Avec le test securityheaders.com, j'obtiens un A+

    En revanche, en testant CSP avec CSP Evaluator, j'ai cette remarque que je ne vois vraiment pas comment régler avec le plugin http headers. ;(

    Cliquez sur l'image pour l'afficher en taille normale  Nom : image.png  Affichages : 0  Taille : 47,9 Ko  ID : 2050782
    Où ajouter ces directives manquantes ?​

    PS : j'ai bien trouvé la possibilité de les définir dans l'onglet CSP, mas pas quoi mettre comme définition.
    Dernière édition par RobertG à 20/04/2023, 07h39
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

    Commentaire


    • #47
      Hello
      Code:
      script-src 'self'; object-src 'self'
      Après tu surveille ta console, il te faudra peut etre d'autres directives comme
      Code:
      script-src 'self' 'unsafe-inline' 'unsafe-hashes'; object-src 'self'
      Je ne les ai pas encore mis en place sous joomla!
      Utilises cet outil pour affiner https://report-uri.com/home/generate
      Dernière édition par Fred2FR3 à 20/04/2023, 09h39

      Commentaire


      • #48
        Merci Fred, j'ai pu avancer en ajoutant diverses choses dans le plugin.
        La seule note concerne require-trusted-types-for[missing] que je ne vois pas où il serait possible de l'ajouter (la doc dit "You can do this by adding "require-trusted-types-for 'script'" to your policy​").

        C'est quand même compliqué, tout ça !
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

        Commentaire


        • #49
          Sur ta capture, elle te donne la directive a appliquer
          You can do this by adding
          Code:
          require-trusted-types-for​ 'script'
          Par ailleurs elle te suggère aussi
          Code:
          object-src 'none'

          Commentaire


          • #50
            Il ne s'agit plus de ceux-là, qu'on peut paramétrer en effet dans le plugin, mais de
            require-trusted-types-for[missing] que je ne vois pas où il serait possible de l'ajouter (la doc dit "You can do this by adding "require-trusted-types-for 'script'" to your policy​")​
            et ça, je ne l'ai pas trouvé dans le plugin (et je n'ai pas l'intention d'ajouter des instructions dans un .htaccess )
            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

            Commentaire


            • #51
              Dans le plugin des entêtes http
              Forcer les entêtes HTTP => Ajouter => content security policy => require-trusted-types-for 'script'
              Fichiers joints
              Dernière édition par Fred2FR3 à 20/04/2023, 10h54

              Commentaire


              • #52
                Hélas, ça ne change pas l'info dans le site de tests
                Cliquez sur l'image pour l'afficher en taille normale  Nom : image.png  Affichages : 0  Taille : 22,1 Ko  ID : 2050801
                Cliquez sur l'image pour l'afficher en taille normale  Nom : image.png  Affichages : 0  Taille : 48,0 Ko  ID : 2050802​​
                "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                Commentaire


                • #53
                  Toute facon c'est pas supporté par safari et firefox : https://developer.mozilla.org/en-US/...sted-types-for
                  Quand les infos sont en bleu, c'est en general trop recent et donc loin d'etre une priorité, un peu comme les cors

                  Pour ton script-src ajoute
                  Code:
                  http: https:
                  Dernière édition par Fred2FR3 à 20/04/2023, 11h19

                  Commentaire


                  • #54
                    Merci de ces explications et conseils !
                    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                    MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                    Commentaire


                    • #55
                      Bonjour
                      Envoyé par Fred2FR3 Voir le message
                      Ha oui, c'est probablement les CORS ca
                      Evites de bloquer le crawl des moteurs aussi héhéhé !
                      Ceal sert à quoi exactement le CORS. Je n'avais jamais fais attention et je l'ai laissé désactivé.

                      Faciliter l'adoption du meilleur du Libre auprès du grand public https://clibre.eu/ - Connaissez-vous des communicants ... pour promouvoir joomla ? https://forum.joomla.fr/forum/th%C3%...mouvoir-joomla

                      Commentaire


                      • #56
                        Cet article detail bien : https://developer.mozilla.org/fr/docs/Web/HTTP/CORS

                        Commentaire


                        • #57
                          Bon, quand je dis que c'est compliqué...
                          Après être arrivé à un bon résultat sur le site de configuration du plugin, j'ai reporté les réglages sur un de mes sites : même type de serveur, celui de test, appartenant à un client, ayant plus de puissance que le mien, et sur mon propre site, des tas d'erreurs signalées par Firefox et Chrome à propos de ces headers. La seule différence entre les deux serveurs est que celui de test fonctionne en HTTP/1.1 quand le mien est en 2 (il va falloir que j'interroge l'hébergeur).
                          "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                          MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                          Commentaire


                          • #58
                            Ah, une autre différence : sur mon serveur je retrouve 'strict-dynamic' dans les entêtes alors que rien n'y fait référence dans le plugin.

                            J'ai dit une bêtise ! sur les deux sites, l'option est activée...
                            Mais quand tout va bien dans les sites de vérification, il y a des tas d'erreurs dans les inspecteurs Firefox et Chrome ! et pas forcément les mêmes avec les deux navigateurs.
                            Dernière édition par RobertG à 20/04/2023, 15h16
                            "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                            MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                            Commentaire


                            • #59
                              Oui, c'est assez subtile a regler des lors qu'on autorise pas avec 'all', regardes si le coeur t'en dit en premiere page l'exemple que j'ai mis de ce que ca donne sur un WP a priori bien réglé (je dis a priori car je ne suis pas a l’abri d'une erreur comme nous tous).

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X