Auteur Sujet: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web  (Lu 4378 fois)

0 Membres et 1 Invité sur ce sujet

turold

  • La fibre idéal
  • ******
  • Messages: 1 655
  • essai: mp réouverts, sauf à mes ignorés (15)
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #24 le: 07 septembre 2016 à 22:00:08 »
Il y a moins de 5 minutes (limite entre 2 scan du même domaine donc pas pu le faire), t'es a nouveau en B avec -25 pour le CSP.
Ceci dit, tu peux avoir un grade entre B et A+ en nuançant le CSP, comme je l'ai mis plus haut: https://lafibre.info/cryptographie/mozilla-lance-un-outil-gratuit-danalyse-de-la-securite-des-sites-web/msg369552/#msg369552

En complèment, pour les nuances:
Citer
Scoring Range   Grade
100+    A+
90-99    A
85-89    A-
80-84    B+
70-79    B

65-69    B-
60-64    C+
50-59    C
45-49    C-
40-44    D+
30-39    D
25-29    D-
0-24    F

Edit: j'ai rescan. C'est bien B en -25 sur CSP maintenant.

vivien

  • Administrateur
  • *
  • Messages: 29 343
    • Twitter LaFibre.info
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #25 le: 08 septembre 2016 à 11:03:16 »
J'ai trouvé de manière empirique une conf Content-Security-Policy qui semble ne pas bloquer le chargement de certains objet du forum :

Header set Content-Security-Policy "object-src 'self; frame-ancestors 'sameorigin'"

Je suis donc noté A- maintenant :
-20 pour Content Security Policy (CSP) implemented, but allows 'unsafe-inline' inside script-src
+5 pour X-Frame-Options (XFO) implemented via the CSP frame-ancestors directive

J'ai un peu de mal à comprendre pourquoi en utilisant script-src 'self' certains scripts ne se chargent pas (comme celui pour rédiger les messages avec les smileys)

Merci de me dire si vous voyez des régressions.

Marco POLO

  • Client Free fibre
  • *
  • Messages: 1 770
  • FTTH 100 Mb/s sur Paris (75)
Grade C- d'après Observatory de Mozilla
« Réponse #26 le: 09 septembre 2016 à 19:55:07 »
mouais bof un outil qui se emet C a lui-meme. https://observatory.mozilla.org/analyze.html?host=mozilla.org
...C'est peut-être la démonstration que, selon les résultats d'affichage/fonctionnement recherchés, le but serait de rechercher une note ASSEZ sécurisée sans chercher obligatoirement à obtenir la note A+ !? 

Nh3xus

  • Réseau Deux Sarres (57)
  • Client K-Net
  • *
  • Messages: 2 119
  • Sarrebourg (57)
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #27 le: 09 septembre 2016 à 21:53:12 »
De toutes façons, la chaine de confiance de l'HTTPS est un modèle complètement pourri...

corrector

  • Invité
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #28 le: 25 septembre 2016 à 12:05:26 »
Le point noir indiqué par Mozuilla (-30 points) est "Session cookie set without using the HttpOnly flag"

Pourtant, dans SMF, j'ai bien coché "Forcer la sécurisation des témoins : Activer cette option forcera la sécurisation des témoins (cookies) créés pour les utilisateurs de votre forum. Ne l'activez que si vous utilisez le protocole HTTPS sur tout votre site, faute de quoi la gestion des témoins sera fortement perturbée !"
Attention, ça n'a rien à voir :
- secure signifie que le cookie n'est pas envoyé en HTTP (communication en clair)
- HttpOnly signifie que le cookie n'est pas accessible en JS

Cela correspond à des problématiques de sécurité complètement différentes :
- HTTP en clair : risque d'interception des données par une écoute passive sur la ligne
- JS : en cas d'inclusion d'un script hostile dans la page (dans le code HTML de la page ou bien dans une ressource tierce JS incluse dans le page), les cookies HTTP ne sont pas lisibles par le code JS

Ces deux problématiques n'ont rien à voir :
- l'écoute est un risque intrinsèque d'un réseau ouvert; "secure" est la première ligne de défense d'un cookie, comme le schéma d'URL "https:" vs "http:"
- l'insertion d'un script arbitraire ne doit en aucun cas être permise par le logiciel qui génère le HTML; mais si jamais une faille existe, on tente de la défense en profondeur; "HttpOnly" est la dernière ligne de défense.

corrector

  • Invité
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #29 le: 25 septembre 2016 à 13:27:24 »
De toutes façons, la chaine de confiance de l'HTTPS est un modèle complètement pourri...
Certes... si tu peux proposer mieux, pas beaucoup plus complexe, intelligible pour l'utilisateur moyen, etc. (toute autre propriété évidemment souhaitable que j'oublie), on t'écoute...

 

Mobile View