Auteur Sujet: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web  (Lu 7715 fois)

0 Membres et 1 Invité sur ce sujet

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Afin d'aider les webmasters à mieux protéger leurs sites web et leurs utilisateurs, Mozilla lance un scanner en ligne gratuit d'analyse qui permet de vérifier que les paramètres de sécurité de leurs serveurs web sont optimums. Ce service ne recherche pas les vulnérabilités de code, mais vérifie que les multiples mécanismes de sécurité disponibles sont présents et bien configurés. Contrairement au SSL Server Test, qui vérifie uniquement l’usage du TLS, cet outil vérifie plusieurs mécanismes de sécurité en vigueur sur le web. 

=> https://observatory.mozilla.org/analyze.html?host=lafibre.info

corrector

  • Invité
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #1 le: 03 septembre 2016 à 09:05:42 »
Et oui! Pour la sécurité, mettre de la crypto robuste (incassable en pratique) n'est pas suffisant, il faut que tout soit bien configuré.

P.ex. contrairement à ce qu'on lit un peu partout, HTTPS ce n'est pas juste HTTP/TLS, alors que IMAP/S c'est IMAP/TLS, POP/S c'est POP/TLS, etc.

En gros :

HTTPS = TLS + le schéma d'URL "https:" + l'attribut "secure" pour les cookies HTTP

Toutes ces composantes sont essentielles.

La sécurité d'un site Web ne se limite pas au bon usage de HTTPS évidemment.

eruditus

  • Client Orange adsl
  • Modérateur
  • *
  • Messages: 11 015
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #2 le: 03 septembre 2016 à 09:35:53 »
Changement de section fait

vivien

  • Administrateur
  • *
  • Messages: 47 075
    • Twitter LaFibre.info
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #3 le: 03 septembre 2016 à 10:18:55 »
Je vois que LaFibre.info est mal classé par Mozilla : https://observatory.mozilla.org/analyze.html?host=lafibre.info

Je suis étonné car il semble ne pas comprendre
        Header always set X-Frame-Options DENY
        Header always set X-Content-Type-Options nosniff

Mozilla me met :
X-Frame-Options (XFO) header cannot be recognized
X-Content-Type-Options header cannot be recognized


et Content Security Policy (CSP) header not implemented lié au fait qu'il n'a pas compris les header visant a empêcher le cross-site scripting

corrector

  • Invité
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #4 le: 03 septembre 2016 à 10:29:19 »
En effet :

X-Content-Type-Options:nosniff
X-Content-Type-Options:nosniff
X-Frame-Options:DENY
X-Frame-Options:SAMEORIGIN

C'est du grand n'importe quoi.

corrector

  • Invité
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #5 le: 03 septembre 2016 à 10:58:46 »
Le détail donne :

X-Content-Type-Options   nosniff, nosniff
X-Frame-Options   DENY, SAMEORIGIN

"nosniff, nosniff" n'existe pas.

"DENY, SAMEORIGIN" n'a pas de sens et est contradictoire.

vivien

  • Administrateur
  • *
  • Messages: 47 075
    • Twitter LaFibre.info
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #6 le: 03 septembre 2016 à 11:58:42 »
Effectivement, je n'avais pas vu.

Il y a visiblement une conf Apache qui rajoute des en-têtes contradictoires à celles que j'ai mises.

C'est pourtant commenté au niveau général d'Apache :
cat /etc/apache2/conf-available/security.conf | grep "Header set"
#Header set X-Content-Type-Options: "nosniff"
#Header set X-Frame-Options: "sameorigin"

Je recherche le fautif.

vivien

  • Administrateur
  • *
  • Messages: 47 075
    • Twitter LaFibre.info
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #7 le: 03 septembre 2016 à 12:20:39 »
Trouvé : j'avais un "security.conf.save" donc un fichier de conf sauvegardé, qui était activé, car situé dans le dossier /etc/apache2/conf-enabled

J'en ai profité pour activer les header dans /etc/apache2/conf-available/security.conf et supprimer ceux que j'avais mis dans toutes mes config...

Je passe d'une notation F a une notation C- sur https://observatory.mozilla.org/analyze.html?host=lafibre.info

corrector

  • Invité
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #8 le: 03 septembre 2016 à 12:35:56 »
En plus, idéalement, PHPSESSID devrait être secure.

corrector

  • Invité
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #9 le: 03 septembre 2016 à 13:22:35 »
Je regrette qu'ils mélangent les mesures strictement nécessaires et les mesures de défense en profondeur/d'anti-exploitation.

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #10 le: 03 septembre 2016 à 15:59:56 »
Je vois que LaFibre.info est mal classé par Mozilla : https://observatory.mozilla.org/analyze.html?host=lafibre.info...

...Je passe d'une notation F a une notation C- sur https://observatory.mozilla.org/analyze.html?host=lafibre.info
...Le fait d'avoir refait le test: les deux liens mènent à la notation C- . 

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Grade C- d'après Observatory de Mozilla
« Réponse #11 le: 07 septembre 2016 à 17:36:05 »
Salut,

Juste pour info, car je ne sais pas si Vivien cherche l'excellence en https.
Mais le nouvel outil d'analyse TLS de Mozilla est vraiment très strict.
Même mon site perso, après un procédure opaque de mon hébergeur (sic pour du TLS) a fait confirmer mon certificat auto-signé par Comodo (donc plus auto-signé, mais je ne connais pas le délai qui n'est pas rapide en tout cas). Résultat perso? Je suis en grade B pour ssllabs (reste le RC4 sur mon mutualisé)... mais F d'après Observatory (à noter que le verrou est vert dans Firefox pour l'accès à mon site en https^^).

Côté lafibre.info. On passe de A+ chez ssllabs (pas refait le test récemment mais je pense que cela n'a pas bougé)... à C- sur Observatory: https://observatory.mozilla.org/analyze.html?host=lafibre.info (résultat en cache).
Les reproches de Mozilla à lafibre.info en https?
- Content Security Policy (CSP) header not implemented
- Session cookie set without using the HttpOnly flag

Vraiment pointilleux ce Mozilla... :o
Surtout que Firefox n'est pas sans reproches en terme de sécurité, dont la gestion des failles de sécurité découvertes...
À quand un outil similaire par Microsoft ou Adobe?^^
Enfin bon, je m'égare là.