[Résolu]Cas concret & Mozilla observatory

otyugh · 05-12-2022 14:10:09

Yop,
j'arrive pas à améliorer ma note, et je comprends pas pourquoi

Voilà les points négatifs
https://observatory.mozilla.org/analyze/arzinfo.pw

X-XSS-Protection header not implemented
Content Security Policy (CSP) header not implemented

Alors qu'à priori ils y sont les headers demandés (mal à priori, mais où qu'elle est l'erreur ?)

curl -D- arzinfo.pw

Content-Security-Policy: default-src 'https'; object-src 'none';
X-XSS-Protection: 1; mode=block;

Si vous parvenez a avoir les bons résultat sur votre site, donnez l'URL que je m'inspire

Dernière modification par otyugh (06-12-2022 12:42:45)

Cram28 · 05-12-2022 20:05:28

Hello bonsoir otyugh,

Pas mon site (j'en n'ai pas...).
Mais tiens, justement, un des chatons intéressé par un don:
- url: https://katzei.fr
- résultat de l'analyse: https://observatory.mozilla.org/analyze/katzei.fr

Il a un A+...

Pas sûr que tu puisses voir quelque chose, j'y connais rien...

@+

otyugh · 06-12-2022 12:42:02

Ok trouvé ; pour une raison inconnue de moi, les directives add_header de nginx dans le bloc global ne s'appliquait pas à https. Et curl va voir celui d'http par défaut si on précise pas. Du coup voilà. Je regardai pas où il fallait.

Par contre j'aurai pas mon "A+" parce qu'il faut interdire l'usage de CSS/JS directement intégré dans la page, et je m'en sers pour bricoler :<
Je me satisferai d'un "B+" !

Je suis pas ultra convaincu de pourquoi du "js/css inline" est moins sécurisé que de donner un liens vers un fichier qui sert la même chose. Si le site est compromis il est compromis non ? T_T

Dernière modification par otyugh (06-12-2022 12:54:46)

Anonyme-14 · 06-12-2022 19:53:42

Hello, pas moyen de me rendre sur ton site en ce moment ...
Dans ton CSP default-src devrait être 'none'
puis effectivement unsafe-inline ne devrait pas être dans script-src ni style-scr
Super note sinon !

otyugh · 06-12-2022 19:55:17

Hello, pas moyen de me rendre sur ton site en ce moment ...

Oui le fait d'être chez orange me mets beaucoup de "downtime", je dirai 3 fois par jours en moyenne. J'ai un script qui rétablit l'IP dynamique toutes les heures. Scotch scotch scotch.

Anonyme-14 · 06-12-2022 20:03:07

Laboratory par Mozilla est une extension qui peut t'apporter de l'aide pour le CSP.
Si celui-ci te mets également des unsafe-inline alors tu devrais essayer par toi-même d'y mettre un nonce ou un hash
Dans chromium un clic droit et inspecter te donneras plus de lumière.

otyugh · 06-12-2022 20:23:42

Ben juste je fais un CMS en ce moment sur mon site où l'on peut simplement insérer du JS et du CSS en ajoutant une simple balise. Je pourrai contourner le problème pour satisfaire ce besoin de "sécurité" mais je ne vois pas l'intêret. Et je trouve ça un peu con de devoir complexifier un système pour "une mesure de sécurité" qui n'apporte rien (de mon point de vue).

Dernière modification par otyugh (06-12-2022 20:53:13)

Anonyme-14 · 07-12-2022 08:22:36

De ton point de vue (puisque c'est un peu au départ ta question), cela apporte cette satisfaction

Debian-facile

#1 05-12-2022 14:10:09

[Résolu]Cas concret & Mozilla observatory

#2 05-12-2022 20:05:28

Re : [Résolu]Cas concret & Mozilla observatory

#3 06-12-2022 12:42:02

Re : [Résolu]Cas concret & Mozilla observatory

#4 06-12-2022 19:53:42

Re : [Résolu]Cas concret & Mozilla observatory

#5 06-12-2022 19:55:17

Re : [Résolu]Cas concret & Mozilla observatory

#6 06-12-2022 20:03:07

Re : [Résolu]Cas concret & Mozilla observatory

#7 06-12-2022 20:23:42

Re : [Résolu]Cas concret & Mozilla observatory

#8 07-12-2022 08:22:36

Re : [Résolu]Cas concret & Mozilla observatory

Pied de page des forums