logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 05-12-2022 14:10:09

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

[Résolu]Cas concret & Mozilla observatory

Yop,
j'arrive pas à améliorer ma note, et je comprends pas pourquoi help.gif

Voilà les points négatifs
https://observatory.mozilla.org/analyze/arzinfo.pw

X-XSS-Protection header not implemented
Content Security Policy (CSP) header not implemented



Alors qu'à priori ils y sont les headers demandés (mal à priori, mais où qu'elle est l'erreur ?)

curl -D- arzinfo.pw


Content-Security-Policy: default-src 'https'; object-src 'none';
X-XSS-Protection: 1; mode=block;



Si vous parvenez a avoir les bons résultat sur votre site, donnez l'URL que je m'inspire woohoo.gif

Dernière modification par otyugh (06-12-2022 12:42:45)


virtue_signaling.pngpalestine.png
~1821942.svg

Hors ligne

#2 05-12-2022 20:05:28

Cram28
Adhérent(e)
Lieu : Eure-et-Loir
Distrib. : Debian GNU/Linux 12.5
Noyau : Linux 6.1.0-20-amd64
(G)UI : Xfce 4.18
Inscription : 14-09-2020

Re : [Résolu]Cas concret & Mozilla observatory

Hello bonsoir otyugh,

Pas mon site (j'en n'ai pas...).
Mais tiens, justement, un des chatons intéressé par un don:
- url: https://katzei.fr
- résultat de l'analyse: https://observatory.mozilla.org/analyze/katzei.fr

Il a un A+...

Pas sûr que tu puisses voir quelque chose, j'y connais rien...

@+

Travaille du chapeau: "Je sais que vous croyez comprendre ce que vous pensez que j'ai dit, mais je ne suis pas certain que vous réalisiez que ce que vous avez entendu n'est pas exactement ce que je voulais dire..."

Hors ligne

#3 06-12-2022 12:42:02

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [Résolu]Cas concret & Mozilla observatory

Ok trouvé ; pour une raison inconnue de moi, les directives add_header de nginx dans le bloc global ne s'appliquait pas à https. Et curl va voir celui d'http par défaut si on précise pas. Du coup voilà. Je regardai pas où il fallait.

Par contre j'aurai pas mon "A+" parce qu'il faut interdire l'usage de CSS/JS directement intégré dans la page, et je m'en sers pour bricoler :<
Je me satisferai d'un "B+" !


Je suis pas ultra convaincu de pourquoi du "js/css inline" est moins sécurisé que de donner un liens vers un fichier qui sert la même chose. Si le site est compromis il est compromis non ? T_T

Dernière modification par otyugh (06-12-2022 12:54:46)


virtue_signaling.pngpalestine.png
~1821942.svg

Hors ligne

#4 06-12-2022 19:53:42

Anonyme-14
Invité

Re : [Résolu]Cas concret & Mozilla observatory

Hello, pas moyen de me rendre sur ton site en ce moment ...
Dans ton CSP  default-src devrait être 'none'
puis effectivement unsafe-inline ne devrait pas être dans script-src ni style-scr
Super note sinon !

#5 06-12-2022 19:55:17

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [Résolu]Cas concret & Mozilla observatory

Hello, pas moyen de me rendre sur ton site en ce moment ...


Oui le fait d'être chez orange me mets beaucoup de "downtime", je dirai 3 fois par jours en moyenne. J'ai un script qui rétablit l'IP dynamique toutes les heures. Scotch scotch scotch.


virtue_signaling.pngpalestine.png
~1821942.svg

Hors ligne

#6 06-12-2022 20:03:07

Anonyme-14
Invité

Re : [Résolu]Cas concret & Mozilla observatory

Laboratory par Mozilla est une extension qui peut t'apporter de l'aide pour le CSP.
Si celui-ci te mets également des unsafe-inline alors tu devrais essayer par toi-même d'y mettre un nonce ou un hash
Dans chromium un clic droit et inspecter te donneras plus de lumière.

#7 06-12-2022 20:23:42

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [Résolu]Cas concret & Mozilla observatory

Ben juste je fais un CMS en ce moment sur mon site où l'on peut simplement insérer du JS et du CSS en ajoutant une simple balise. Je pourrai contourner le problème pour satisfaire ce besoin de "sécurité" mais je ne vois pas l'intêret. Et je trouve ça un peu con de devoir complexifier un système pour "une mesure de sécurité" qui n'apporte rien (de mon point de vue).

Dernière modification par otyugh (06-12-2022 20:53:13)


virtue_signaling.pngpalestine.png
~1821942.svg

Hors ligne

#8 07-12-2022 08:22:36

Anonyme-14
Invité

Re : [Résolu]Cas concret & Mozilla observatory

De ton point de vue (puisque c'est un peu au départ ta question), cela apporte cette satisfaction smile

Pied de page des forums