Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
cat /etc/apache2/conf-available/security.conf | grep "Header set"
#Header set X-Content-Type-Options: "nosniff"
#Header set X-Frame-Options: "sameorigin"
Je vois que LaFibre.info est mal classé par Mozilla : https://observatory.mozilla.org/analyze.html?host=lafibre.info...
...Je passe d'une notation F a une notation C- sur https://observatory.mozilla.org/analyze.html?host=lafibre.info...Le fait d'avoir refait le test: les deux liens mènent à la notation C- . (https://lafibre.info/images/smileys/@GregLand/en.gif)
J'ai fusionné le sujet.Désolé. J'avais carrèment oublié cette partie en faisant ma recherche pre-post. :-[
Je vise bien sur le ASur ce test, aussi, il y a un A+ posible.
Overall Results
A+ 9097
A 3425
A- 5843
B+ 8330
B 20584
B- 9757
C+ 10130
C 18689
C- 10765
D+ 26442
D 39185
D- 12687
F 1350352
Totals 1525286
Le point noir indiqué par Mozuilla (-30 points) est "Session cookie set without using the HttpOnly flag"Faut pas le faire via SMF, mais au niveau d'Apache pour que ce soit repéré par cet outil. ;)
Pourtant, dans SMF, j'ai bien coché "Forcer la sécurisation des témoins : Activer cette option forcera la sécurisation des témoins (cookies) créés pour les utilisateurs de votre forum. Ne l'activez que si vous utilisez le protocole HTTPS sur tout votre site, faute de quoi la gestion des témoins sera fortement perturbée !"
Content Security Policy Description ModifierDans https://github.com/mozilla/http-observatory/blob/master/httpobs/docs/scoring.md/#http-observatory-scoring-methodology (j'ai trouvé l'anchor dans le code de leur page, mais ne fonctionne pas...).
csp-implemented-with-no-unsafe-default-src-none Content Security Policy (CSP) implemented with default-src 'none' and without 'unsafe-inline' or 'unsafe-eval' 10
csp-implemented-with-no-unsafe Content Security Policy (CSP) implemented without 'unsafe-inline' or 'unsafe-eval' 5
csp-implemented-with-unsafe-inline-in-style-src-only Content Security Policy (CSP) implemented with 'unsafe-inline' inside style-src 0
csp-implemented-with-unsafe-eval Content Security Policy (CSP) implemented, but allows 'unsafe-eval' -10
csp-implemented-with-insecure-scheme Content Security Policy (CSP) implemented, but allows resources to be loaded from http -20
csp-implemented-with-unsafe-inline Content Security Policy (CSP) implemented, but allows 'unsafe-inline' inside script-src -20
csp-not-implemented Content Security Policy (CSP) header not implemented -25
csp-header-invalid Content Security Policy (CSP) header cannot be parsed successfully -25
Content Security Policy +5 Content Security Policy (CSP) implemented without 'unsafe-inline' or 'unsafe-eval'
Scoring Range Grade
100+ A+
90-99 A
85-89 A-
80-84 B+
70-79 B
65-69 B-
60-64 C+
50-59 C
45-49 C-
40-44 D+
30-39 D
25-29 D-
0-24 F
mouais bof un outil qui se emet C a lui-meme. https://observatory.mozilla.org/analyze.html?host=mozilla.org...C'est peut-être la démonstration que, selon les résultats d'affichage/fonctionnement recherchés, le but serait de rechercher une note ASSEZ sécurisée sans chercher obligatoirement à obtenir la note A+ !? (https://lafibre.info/images/smileys/@GregLand/cs.gif)
Le point noir indiqué par Mozuilla (-30 points) est "Session cookie set without using the HttpOnly flag"Attention, ça n'a rien à voir :
Pourtant, dans SMF, j'ai bien coché "Forcer la sécurisation des témoins : Activer cette option forcera la sécurisation des témoins (cookies) créés pour les utilisateurs de votre forum. Ne l'activez que si vous utilisez le protocole HTTPS sur tout votre site, faute de quoi la gestion des témoins sera fortement perturbée !"
De toutes façons, la chaine de confiance de l'HTTPS est un modèle complètement pourri...Certes... si tu peux proposer mieux, pas beaucoup plus complexe, intelligible pour l'utilisateur moyen, etc. (toute autre propriété évidemment souhaitable que j'oublie), on t'écoute...