Auteur Sujet: Mozilla lance un outil gratuit d'analyse de la sécurité des sites web  (Lu 7716 fois)

0 Membres et 1 Invité sur ce sujet

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Grade C- d'après Observatory de Mozilla
« Réponse #12 le: 07 septembre 2016 à 18:50:31 »
mouais bof un outil qui se emet C a lui-meme. https://observatory.mozilla.org/analyze.html?host=mozilla.org

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #13 le: 07 septembre 2016 à 18:54:46 »
J'ai fusionné le sujet. J'étais bien noté A+ sur SSL Labs et H sur mozilla (C- après avoir fait des premières modif)

Je vise bien sur le A, mais je n'ai pas encore regardé les autres recommandations, qui semblent en contradiction avec d'autres sites de sécurité.

Cela semble complèmentaire de SSL Labs (il ne vérifient pas la même chose)
Bref, une bonne idée pour permettre à la sécurité de progresser.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #14 le: 07 septembre 2016 à 19:03:11 »
Le point noir indiqué par Mozuilla (-30 points) est "Session cookie set without using the HttpOnly flag"

Pourtant, dans SMF, j'ai bien coché "Forcer la sécurisation des témoins : Activer cette option forcera la sécurisation des témoins (cookies) créés pour les utilisateurs de votre forum. Ne l'activez que si vous utilisez le protocole HTTPS sur tout votre site, faute de quoi la gestion des témoins sera fortement perturbée !"

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #15 le: 07 septembre 2016 à 19:19:28 »
J'ai fusionné le sujet.
Désolé. J'avais carrèment oublié cette partie en faisant ma recherche pre-post. :-[
C'est moi, ou il y de plus en plus de sous-parties à chaque remaniement du forum?^^

Je vise bien sur le A
Sur ce test, aussi, il y a un A+ posible.

D'ailleurs, je trouve qu'il y a trop de grades:
Citer
Overall Results
A+   9097
A   3425
A-   5843
B+   8330
B   20584
B-   9757
C+   10130
C   18689
C-   10765
D+   26442
D   39185
D-   12687
F   1350352
Totals   1525286

Perso, à part qu'il faut que je fasse éclaircir la procédure gratuite (et automatique car je n'avais rien demandé) de mon hébergeur, je pense que ma prochaine étape TLS pour moi sera un serveur virtuel (le jour où le TLS sera une priorité pour moi car pas le cas actuellement). Car même si les hébergeurs essayent de favoriser de plus en plus l'implèmentation des certificats de confiance (et parfois gratuitement) sur du mutualisé (let's encrypt chez OVH, Comodo chez mon hébergeur Obambu, etc), il peut y avoir des problèmes:
- aucun paramétrage possible au niveau serveur (j'ai du RC4 par exemple)
- transparence (pas au courant de mon côté sur mon espace par exemple pour du TLS gratuit de confiance, par contre il met bien la gamme payante sur son site)
- et on ajoute un intermédiaire dans les démarches, et donc du délai, pour passer du statu auto-signé à "confiance" (ce qui pose un problème bloquant avec Firefox pour ses utilisateurs)

Bref, pour la sécurité, rien de mieux que l'autonomie des paramétrages et des démarches... 8)

Quant à cet outil, je suis dubitatif.
Ah oui, un article de presse parle d'un 3ème outil. Rien que pour voir, il faudrait que je retrouve, et voir s'il est déjà connu ici. Comme tu vises du A+ partout, on verra jusqu'à combien d'outils tu vas tenir. :P

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #16 le: 07 septembre 2016 à 19:25:50 »
Le point noir indiqué par Mozuilla (-30 points) est "Session cookie set without using the HttpOnly flag"

Pourtant, dans SMF, j'ai bien coché "Forcer la sécurisation des témoins : Activer cette option forcera la sécurisation des témoins (cookies) créés pour les utilisateurs de votre forum. Ne l'activez que si vous utilisez le protocole HTTPS sur tout votre site, faute de quoi la gestion des témoins sera fortement perturbée !"
Faut pas le faire via SMF, mais au niveau d'Apache pour que ce soit repéré par cet outil. ;)

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #17 le: 07 septembre 2016 à 21:05:10 »
Effectivement !

J'ai rajouté dans apache :
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

Et j'ai maintenant la note B.

Je m'attaque au Content Security Policy, mais là c'est plus complexe, car je ne vais pas interdire du contenu http sur lafibre.info (de nombreuses images externes sont en http)

Vous pensez qu'il faut mettre quoi ?
=> https://content-security-policy.com/

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #18 le: 07 septembre 2016 à 21:24:04 »
De quel point de vue? :P ;D

Si c'est pour le scoring, voici le point de vue de Mozilla:
Citer
Content Security Policy   Description   Modifier
csp-implemented-with-no-unsafe-default-src-none   Content Security Policy (CSP) implemented with default-src 'none' and without 'unsafe-inline' or 'unsafe-eval'   10
csp-implemented-with-no-unsafe   Content Security Policy (CSP) implemented without 'unsafe-inline' or 'unsafe-eval'   5
csp-implemented-with-unsafe-inline-in-style-src-only   Content Security Policy (CSP) implemented with 'unsafe-inline' inside style-src   0
csp-implemented-with-unsafe-eval   Content Security Policy (CSP) implemented, but allows 'unsafe-eval'   -10
csp-implemented-with-insecure-scheme   Content Security Policy (CSP) implemented, but allows resources to be loaded from http   -20
csp-implemented-with-unsafe-inline   Content Security Policy (CSP) implemented, but allows 'unsafe-inline' inside script-src   -20
csp-not-implemented   Content Security Policy (CSP) header not implemented   -25
csp-header-invalid   Content Security Policy (CSP) header cannot be parsed successfully   -25
Dans https://github.com/mozilla/http-observatory/blob/master/httpobs/docs/scoring.md/#http-observatory-scoring-methodology (j'ai trouvé l'anchor dans le code de leur page, mais ne fonctionne pas...).

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #19 le: 07 septembre 2016 à 21:27:20 »
Tu viens de faire quoi?
Retire! On n'a plus les smileys dans l'édition d'une réponse...

Et idem pour toutes les balises BBcode!

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #20 le: 07 septembre 2016 à 21:37:45 »
Et le filtre pour seulement les invités ou membres dans "La Fibre » Qui est en ligne" ne fonctionne plus...

Testé sous Iron (comme Chrome) et Firefox. Mêmes problèmes.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #21 le: 07 septembre 2016 à 21:39:05 »
J'avais mis (c'est retiré à l'instant)
Header set Content-Security-Policy "script-src 'self'; object-src 'self'"

Cela permet de faire passer les images en http sur le forum, de même que les vidéos Youtube ou Dailymotion.
(par contre Header set Content-Security-Policy: "default-src https:" bloque les images http des messages)

J'ai vu un effet de bord pour les smileys dans l'édition d'une réponse, faut que je trouve ce qu'il faut rajouter...
Pourtant tout semble appelé en interne, aucun script externe...

Sinon, cela donne la note A+ :


turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #22 le: 07 septembre 2016 à 21:49:38 »
Ok, les 3 problèmes que j'avais repéré à l'instant, ont disparus.
Sachant que comme tu as mis que tu t'en occupais, j'ai fais presque autant de ctrl+f5 que de changements de page dans le forum.^^

Avec un score de 105/100, tu peux même te permettre un peu de souplesse tout en gardant le A+. ;)
Citer
Content Security Policy      +5   Content Security Policy (CSP) implemented without 'unsafe-inline' or 'unsafe-eval'

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Mozilla lance un outil gratuit d'analyse de la sécurité des sites web
« Réponse #23 le: 07 septembre 2016 à 21:54:29 »
Le A+ c'est avec le Content Security Policy qui bloque plusieurs choses. Je l'ai supprimé.
Il faut probablement rajouter une exception, mais je ne trouve pas.

Si tu recharge la page Mozilla, je n'ai plus la A+

Merci pour la notations, je vies de trouver un +5 facile à avoir : Interdire les frame par le Content-Security-Policy rajoute +5 :
Header set Content-Security-Policy: "script-src 'self'; object-src 'self' ; frame-ancestors 'none'"
iperf.fr à 110/100 => https://observatory.mozilla.org/analyze.html?host=iperf.fr