Et oui! Pour la sécurité, mettre de la crypto robuste (incassable en pratique) n'est pas suffisant, il faut que tout soit bien configuré.

P.ex. contrairement à ce qu'on lit un peu partout, HTTPS ce n'est pas juste HTTP/TLS, alors que IMAP/S c'est IMAP/TLS, POP/S c'est POP/TLS, etc.

En gros :


Toutes ces composantes sont essentielles.

La sécurité d'un site Web ne se limite pas au bon usage de HTTPS évidemment.

Je vois que LaFibre.info est mal classé par Mozilla : https://observatory.mozilla.org/analyze.html?host=lafibre.info

Je suis étonné car il semble ne pas comprendre
        Header always set X-Frame-Options DENY
        Header always set X-Content-Type-Options nosniff
Mozilla me met :
X-Frame-Options (XFO) header cannot be recognized
X-Content-Type-Options header cannot be recognized

et Content Security Policy (CSP) header not implemented lié au fait qu'il n'a pas compris les header visant a empêcher le cross-site scripting

Le détail donne :

X-Content-Type-Options   nosniff, nosniff
X-Frame-Options   DENY, SAMEORIGIN

"nosniff, nosniff" n'existe pas.

"DENY, SAMEORIGIN" n'a pas de sens et est contradictoire.

Trouvé : j'avais un "security.conf.save" donc un fichier de conf sauvegardé, qui était activé, car situé dans le dossier /etc/apache2/conf-enabled

J'en ai profité pour activer les header dans /etc/apache2/conf-available/security.conf et supprimer ceux que j'avais mis dans toutes mes config...

Je passe d'une notation F a une notation C- sur https://observatory.mozilla.org/analyze.html?host=lafibre.info

Je regrette qu'ils mélangent les mesures strictement nécessaires et les mesures de défense en profondeur/d'anti-exploitation.

Salut,

Juste pour info, car je ne sais pas si Vivien cherche l'excellence en https.
Mais le nouvel outil d'analyse TLS de Mozilla est vraiment très strict.
Même mon site perso, après un procédure opaque de mon hébergeur (sic pour du TLS) a fait confirmer mon certificat auto-signé par Comodo (donc plus auto-signé, mais je ne connais pas le délai qui n'est pas rapide en tout cas). Résultat perso? Je suis en grade B pour ssllabs (reste le RC4 sur mon mutualisé)... mais F d'après Observatory (à noter que le verrou est vert dans Firefox pour l'accès à mon site en https^^).

Côté lafibre.info. On passe de A+ chez ssllabs (pas refait le test récemment mais je pense que cela n'a pas bougé)... à C- sur Observatory: https://observatory.mozilla.org/analyze.html?host=lafibre.info (résultat en cache).
Les reproches de Mozilla à lafibre.info en https?
- Content Security Policy (CSP) header not implemented
- Session cookie set without using the HttpOnly flag

Vraiment pointilleux ce Mozilla...
Surtout que Firefox n'est pas sans reproches en terme de sécurité, dont la gestion des failles de sécurité découvertes...
À quand un outil similaire par Microsoft ou Adobe?^^
Enfin bon, je m'égare là.