La Fibre

Télécom => Réseau => Protocoles réseaux sécurisés (https) => Discussion démarrée par: Marco POLO le 02 septembre 2016 à 16:49:02

Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: Marco POLO le 02 septembre 2016 à 16:49:02: Afin d'aider les webmasters à mieux protéger leurs sites web et leurs utilisateurs, Mozilla lance un scanner en ligne gratuit d'analyse (http://www.lemondeinformatique.fr/actualites/lire-mozilla-lance-un-outil-gratuit-d-analyse-de-la-securite-des-sites-web-65748.html?utm_source=mail&utm_medium=email&utm_campaign=Newsletter) qui permet de vérifier que les paramètres de sécurité de leurs serveurs web sont optimums. Ce service ne recherche pas les vulnérabilités de code, mais vérifie que les multiples mécanismes de sécurité disponibles sont présents et bien configurés. Contrairement au SSL Server Test, qui vérifie uniquement l’usage du TLS, cet outil vérifie plusieurs mécanismes de sécurité en vigueur sur le web. (https://lafibre.info/images/smileys/Travail/travail_11.gif)

=> https://observatory.mozilla.org/analyze.html?host=lafibre.info
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: corrector le 03 septembre 2016 à 09:05:42: Et oui! Pour la sécurité, mettre de la crypto robuste (incassable en pratique) n'est pas suffisant, il faut que tout soit bien configuré.

P.ex. contrairement à ce qu'on lit un peu partout, HTTPS ce n'est pas juste HTTP/TLS, alors que IMAP/S c'est IMAP/TLS, POP/S c'est POP/TLS, etc.

En gros :

HTTPS = TLS + le schéma d'URL "https:" + l'attribut "secure" pour les cookies HTTP

Toutes ces composantes sont essentielles.

La sécurité d'un site Web ne se limite pas au bon usage de HTTPS évidemment.
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: eruditus le 03 septembre 2016 à 09:35:53: Changement de section fait
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: vivien le 03 septembre 2016 à 10:18:55: Je vois que LaFibre.info est mal classé par Mozilla : https://observatory.mozilla.org/analyze.html?host=lafibre.info

Je suis étonné car il semble ne pas comprendre
Code: [Sélectionner]
Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff
Mozilla me met :
X-Frame-Options (XFO) header cannot be recognized
X-Content-Type-Options header cannot be recognized

et Content Security Policy (CSP) header not implemented lié au fait qu'il n'a pas compris les header visant a empêcher le cross-site scripting
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: corrector le 03 septembre 2016 à 10:29:19: En effet :

X-Content-Type-Options:nosniff
X-Content-Type-Options:nosniff
X-Frame-Options:DENY
X-Frame-Options:SAMEORIGIN

C'est du grand n'importe quoi.
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: corrector le 03 septembre 2016 à 10:58:46: Le détail donne :

X-Content-Type-Options nosniff, nosniff
X-Frame-Options DENY, SAMEORIGIN

"nosniff, nosniff" n'existe pas.

"DENY, SAMEORIGIN" n'a pas de sens et est contradictoire.
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: vivien le 03 septembre 2016 à 11:58:42: Effectivement, je n'avais pas vu.

Il y a visiblement une conf Apache qui rajoute des en-têtes contradictoires à celles que j'ai mises.

C'est pourtant commenté au niveau général d'Apache :
Code: [Sélectionner]
cat /etc/apache2/conf-available/security.conf | grep "Header set" #Header set X-Content-Type-Options: "nosniff" #Header set X-Frame-Options: "sameorigin"
Je recherche le fautif.
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: vivien le 03 septembre 2016 à 12:20:39: Trouvé : j'avais un "security.conf.save" donc un fichier de conf sauvegardé, qui était activé, car situé dans le dossier /etc/apache2/conf-enabled

J'en ai profité pour activer les header dans /etc/apache2/conf-available/security.conf et supprimer ceux que j'avais mis dans toutes mes config...

Je passe d'une notation F a une notation C- sur https://observatory.mozilla.org/analyze.html?host=lafibre.info
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: corrector le 03 septembre 2016 à 12:35:56: En plus, idéalement, PHPSESSID devrait être secure.
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: corrector le 03 septembre 2016 à 13:22:35: Je regrette qu'ils mélangent les mesures strictement nécessaires et les mesures de défense en profondeur/d'anti-exploitation.
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: Marco POLO le 03 septembre 2016 à 15:59:56: Citation de: vivien le 03 septembre 2016 à 10:18:55
Je vois que LaFibre.info est mal classé par Mozilla : https://observatory.mozilla.org/analyze.html?host=lafibre.info...

Citation de: vivien le 03 septembre 2016 à 12:20:39
...Je passe d'une notation F a une notation C- sur https://observatory.mozilla.org/analyze.html?host=lafibre.info
...Le fait d'avoir refait le test: les deux liens mènent à la notation C- . (https://lafibre.info/images/smileys/@GregLand/en.gif)
Titre: Grade C- d'après Observatory de Mozilla
Posté par: turold le 07 septembre 2016 à 17:36:05: Salut,

Juste pour info, car je ne sais pas si Vivien cherche l'excellence en https.
Mais le nouvel outil d'analyse TLS de Mozilla est vraiment très strict.
Même mon site perso, après un procédure opaque de mon hébergeur (sic pour du TLS) a fait confirmer mon certificat auto-signé par Comodo (donc plus auto-signé, mais je ne connais pas le délai qui n'est pas rapide en tout cas). Résultat perso? Je suis en grade B pour ssllabs (reste le RC4 sur mon mutualisé)... mais F d'après Observatory (à noter que le verrou est vert dans Firefox pour l'accès à mon site en https^^).

Côté lafibre.info. On passe de A+ chez ssllabs (pas refait le test récemment mais je pense que cela n'a pas bougé)... à C- sur Observatory: https://observatory.mozilla.org/analyze.html?host=lafibre.info (résultat en cache).
Les reproches de Mozilla à lafibre.info en https?
- Content Security Policy (CSP) header not implemented
- Session cookie set without using the HttpOnly flag

Vraiment pointilleux ce Mozilla... :o
Surtout que Firefox n'est pas sans reproches en terme de sécurité, dont la gestion des failles de sécurité découvertes...
À quand un outil similaire par Microsoft ou Adobe?^^
Enfin bon, je m'égare là.
Titre: Grade C- d'après Observatory de Mozilla
Posté par: kgersen le 07 septembre 2016 à 18:50:31: mouais bof un outil qui se emet C a lui-meme. https://observatory.mozilla.org/analyze.html?host=mozilla.org
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: vivien le 07 septembre 2016 à 18:54:46: J'ai fusionné le sujet. J'étais bien noté A+ sur SSL Labs et H sur mozilla (C- après avoir fait des premières modif)

Je vise bien sur le A, mais je n'ai pas encore regardé les autres recommandations, qui semblent en contradiction avec d'autres sites de sécurité.

Cela semble complèmentaire de SSL Labs (il ne vérifient pas la même chose)
Bref, une bonne idée pour permettre à la sécurité de progresser.
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: vivien le 07 septembre 2016 à 19:03:11: Le point noir indiqué par Mozuilla (-30 points) est "Session cookie set without using the HttpOnly flag"

Pourtant, dans SMF, j'ai bien coché "Forcer la sécurisation des témoins : Activer cette option forcera la sécurisation des témoins (cookies) créés pour les utilisateurs de votre forum. Ne l'activez que si vous utilisez le protocole HTTPS sur tout votre site, faute de quoi la gestion des témoins sera fortement perturbée !"
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: turold le 07 septembre 2016 à 19:19:28: Citation de: vivien le 07 septembre 2016 à 18:54:46
J'ai fusionné le sujet.
Désolé. J'avais carrèment oublié cette partie en faisant ma recherche pre-post. :-[
C'est moi, ou il y de plus en plus de sous-parties à chaque remaniement du forum?^^

Citation de: vivien le 07 septembre 2016 à 18:54:46
Je vise bien sur le A
Sur ce test, aussi, il y a un A+ posible.

D'ailleurs, je trouve qu'il y a trop de grades:
Citer
Overall Results
A+   9097
A   3425
A-   5843
B+   8330
B   20584
B-   9757
C+   10130
C   18689
C-   10765
D+   26442
D   39185
D-   12687
F   1350352
Totals   1525286

Perso, à part qu'il faut que je fasse éclaircir la procédure gratuite (et automatique car je n'avais rien demandé) de mon hébergeur, je pense que ma prochaine étape TLS pour moi sera un serveur virtuel (le jour où le TLS sera une priorité pour moi car pas le cas actuellement). Car même si les hébergeurs essayent de favoriser de plus en plus l'implèmentation des certificats de confiance (et parfois gratuitement) sur du mutualisé (let's encrypt chez OVH, Comodo chez mon hébergeur Obambu, etc), il peut y avoir des problèmes:
- aucun paramétrage possible au niveau serveur (j'ai du RC4 par exemple)
- transparence (pas au courant de mon côté sur mon espace par exemple pour du TLS gratuit de confiance, par contre il met bien la gamme payante sur son site)
- et on ajoute un intermédiaire dans les démarches, et donc du délai, pour passer du statu auto-signé à "confiance" (ce qui pose un problème bloquant avec Firefox pour ses utilisateurs)

Bref, pour la sécurité, rien de mieux que l'autonomie des paramétrages et des démarches... 8)

Quant à cet outil, je suis dubitatif.
Ah oui, un article de presse parle d'un 3^ème outil. Rien que pour voir, il faudrait que je retrouve, et voir s'il est déjà connu ici. Comme tu vises du A+ partout, on verra jusqu'à combien d'outils tu vas tenir. :P
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: turold le 07 septembre 2016 à 19:25:50: Citation de: vivien le 07 septembre 2016 à 19:03:11
Le point noir indiqué par Mozuilla (-30 points) est "Session cookie set without using the HttpOnly flag"

Pourtant, dans SMF, j'ai bien coché "Forcer la sécurisation des témoins : Activer cette option forcera la sécurisation des témoins (cookies) créés pour les utilisateurs de votre forum. Ne l'activez que si vous utilisez le protocole HTTPS sur tout votre site, faute de quoi la gestion des témoins sera fortement perturbée !"
Faut pas le faire via SMF, mais au niveau d'Apache pour que ce soit repéré par cet outil. ;)
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: vivien le 07 septembre 2016 à 21:05:10: Effectivement !

J'ai rajouté dans apache :
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

Et j'ai maintenant la note B.

Je m'attaque au Content Security Policy, mais là c'est plus complexe, car je ne vais pas interdire du contenu http sur lafibre.info (de nombreuses images externes sont en http)

Vous pensez qu'il faut mettre quoi ?
=> https://content-security-policy.com/
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: turold le 07 septembre 2016 à 21:24:04: De quel point de vue? :P ;D

Si c'est pour le scoring, voici le point de vue de Mozilla:
Citer
Content Security Policy   Description   Modifier
csp-implemented-with-no-unsafe-default-src-none   Content Security Policy (CSP) implemented with default-src 'none' and without 'unsafe-inline' or 'unsafe-eval'   10
csp-implemented-with-no-unsafe   Content Security Policy (CSP) implemented without 'unsafe-inline' or 'unsafe-eval'   5
csp-implemented-with-unsafe-inline-in-style-src-only   Content Security Policy (CSP) implemented with 'unsafe-inline' inside style-src   0
csp-implemented-with-unsafe-eval   Content Security Policy (CSP) implemented, but allows 'unsafe-eval'   -10
csp-implemented-with-insecure-scheme   Content Security Policy (CSP) implemented, but allows resources to be loaded from http   -20
csp-implemented-with-unsafe-inline   Content Security Policy (CSP) implemented, but allows 'unsafe-inline' inside script-src   -20
csp-not-implemented   Content Security Policy (CSP) header not implemented   -25
csp-header-invalid   Content Security Policy (CSP) header cannot be parsed successfully   -25
Dans https://github.com/mozilla/http-observatory/blob/master/httpobs/docs/scoring.md/#http-observatory-scoring-methodology (j'ai trouvé l'anchor dans le code de leur page, mais ne fonctionne pas...).
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: turold le 07 septembre 2016 à 21:27:20: Tu viens de faire quoi?
Retire! On n'a plus les smileys dans l'édition d'une réponse...

Et idem pour toutes les balises BBcode!
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: turold le 07 septembre 2016 à 21:37:45: Et le filtre pour seulement les invités ou membres dans "La Fibre » Qui est en ligne" ne fonctionne plus...

Testé sous Iron (comme Chrome) et Firefox. Mêmes problèmes.
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: vivien le 07 septembre 2016 à 21:39:05: J'avais mis (c'est retiré à l'instant)
Header set Content-Security-Policy "script-src 'self'; object-src 'self'"

Cela permet de faire passer les images en http sur le forum, de même que les vidéos Youtube ou Dailymotion.
(par contre Header set Content-Security-Policy: "default-src https:" bloque les images http des messages)

J'ai vu un effet de bord pour les smileys dans l'édition d'une réponse, faut que je trouve ce qu'il faut rajouter...
Pourtant tout semble appelé en interne, aucun script externe...

Sinon, cela donne la note A+ :

(https://lafibre.info/images/ssl/201609_observatory_mozilla_lafibreinfo.png)
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: turold le 07 septembre 2016 à 21:49:38: Ok, les 3 problèmes que j'avais repéré à l'instant, ont disparus.
Sachant que comme tu as mis que tu t'en occupais, j'ai fais presque autant de ctrl+f5 que de changements de page dans le forum.^^

Avec un score de 105/100, tu peux même te permettre un peu de souplesse tout en gardant le A+. ;)
Citer
Content Security Policy +5 Content Security Policy (CSP) implemented without 'unsafe-inline' or 'unsafe-eval'
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: vivien le 07 septembre 2016 à 21:54:29: Le A+ c'est avec le Content Security Policy qui bloque plusieurs choses. Je l'ai supprimé.
Il faut probablement rajouter une exception, mais je ne trouve pas.

Si tu recharge la page Mozilla, je n'ai plus la A+

Merci pour la notations, je vies de trouver un +5 facile à avoir : Interdire les frame par le Content-Security-Policy rajoute +5 :
Header set Content-Security-Policy: "script-src 'self'; object-src 'self' ; frame-ancestors 'none'"
iperf.fr à 110/100 => https://observatory.mozilla.org/analyze.html?host=iperf.fr
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: turold le 07 septembre 2016 à 22:00:08: Il y a moins de 5 minutes (limite entre 2 scan du même domaine donc pas pu le faire), t'es a nouveau en B avec -25 pour le CSP.
Ceci dit, tu peux avoir un grade entre B et A+ en nuançant le CSP, comme je l'ai mis plus haut: https://lafibre.info/cryptographie/mozilla-lance-un-outil-gratuit-danalyse-de-la-securite-des-sites-web/msg369552/#msg369552

En complèment, pour les nuances:
Citer
Scoring Range   Grade
100+    A+
90-99    A
85-89    A-
80-84    B+
70-79    B
65-69    B-
60-64    C+
50-59    C
45-49    C-
40-44    D+
30-39    D
25-29    D-
0-24    F

Edit: j'ai rescan. C'est bien B en -25 sur CSP maintenant.
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: vivien le 08 septembre 2016 à 11:03:16: J'ai trouvé de manière empirique une conf Content-Security-Policy qui semble ne pas bloquer le chargement de certains objet du forum :

Header set Content-Security-Policy "object-src 'self; frame-ancestors 'sameorigin'"

Je suis donc noté A- maintenant :
-20 pour Content Security Policy (CSP) implemented, but allows 'unsafe-inline' inside script-src
+5 pour X-Frame-Options (XFO) implemented via the CSP frame-ancestors directive

J'ai un peu de mal à comprendre pourquoi en utilisant script-src 'self' certains scripts ne se chargent pas (comme celui pour rédiger les messages avec les smileys)

Merci de me dire si vous voyez des régressions.
Titre: Grade C- d'après Observatory de Mozilla
Posté par: Marco POLO le 09 septembre 2016 à 19:55:07: Citation de: kgersen le 07 septembre 2016 à 18:50:31
mouais bof un outil qui se emet C a lui-meme. https://observatory.mozilla.org/analyze.html?host=mozilla.org
...C'est peut-être la démonstration que, selon les résultats d'affichage/fonctionnement recherchés, le but serait de rechercher une note ASSEZ sécurisée sans chercher obligatoirement à obtenir la note A+ !? (https://lafibre.info/images/smileys/@GregLand/cs.gif)
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: Nh3xus le 09 septembre 2016 à 21:53:12: De toutes façons, la chaine de confiance de l'HTTPS est un modèle complètement pourri...
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: corrector le 25 septembre 2016 à 12:05:26: Citation de: vivien le 07 septembre 2016 à 19:03:11
Le point noir indiqué par Mozuilla (-30 points) est "Session cookie set without using the HttpOnly flag"

Pourtant, dans SMF, j'ai bien coché "Forcer la sécurisation des témoins : Activer cette option forcera la sécurisation des témoins (cookies) créés pour les utilisateurs de votre forum. Ne l'activez que si vous utilisez le protocole HTTPS sur tout votre site, faute de quoi la gestion des témoins sera fortement perturbée !"
Attention, ça n'a rien à voir :
- secure signifie que le cookie n'est pas envoyé en HTTP (communication en clair)
- HttpOnly signifie que le cookie n'est pas accessible en JS

Cela correspond à des problématiques de sécurité complètement différentes :
- HTTP en clair : risque d'interception des données par une écoute passive sur la ligne
- JS : en cas d'inclusion d'un script hostile dans la page (dans le code HTML de la page ou bien dans une ressource tierce JS incluse dans le page), les cookies HTTP ne sont pas lisibles par le code JS

Ces deux problématiques n'ont rien à voir :
- l'écoute est un risque intrinsèque d'un réseau ouvert; "secure" est la première ligne de défense d'un cookie, comme le schéma d'URL "https:" vs "http:"
- l'insertion d'un script arbitraire ne doit en aucun cas être permise par le logiciel qui génère le HTML; mais si jamais une faille existe, on tente de la défense en profondeur; "HttpOnly" est la dernière ligne de défense.
Titre: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
Posté par: corrector le 25 septembre 2016 à 13:27:24: Citation de: Nh3xus le 09 septembre 2016 à 21:53:12
De toutes façons, la chaine de confiance de l'HTTPS est un modèle complètement pourri...
Certes... si tu peux proposer mieux, pas beaucoup plus complexe, intelligible pour l'utilisateur moyen, etc. (toute autre propriété évidemment souhaitable que j'oublie), on t'écoute...