Voici un très bon article qui rappelle comment configurer finement HTTPS et mettre en place les différentes techniques pour améliorer la sécurité autour de ce protocole ...
Le véritable titre de ce post devrait plutôt être "Comment durcir HTTPS au-travers de différentes sécurités à paramétrer finement ..."
- configurer TLS, HSTS, HPKP ( faire très attention avec cela ! ), SRI, CORS, les entêtes X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, les CSP.
----
Personnellement, cela m'a permis de mieux comprendre certaines choses, je teste sur mon domaine principale 'stephane-huc.net', et corrigerais les sous-domaines sous peu.
Ce que je remarque, c'est que ce n'est pas forcément compliqué à mettre en place, du moins en tant qu'admin ou techos info ... ensuite, il faut être méthodique, tester un par un, voire les implications de certaines options, comment réagit le code, ce qui s'affiche ou pas dans le browser web graphique.
Quoiqu'il en soit, ne faites pas l'impasse, si vous voulez vous héberger ... sinon, passez la main à d'aucun qui sera assez sérieux pour s'y mettre correctement !
Autre remarque : Firefox réagit bien ... par contre, je suis surpris "Chromium" : j'ai au moins le texte, pas de CSS, scripts, etc ...
[HTTPS] Bien configurer finement
-
PengouinPdt
- Contributeur
- Messages : 1343
- Inscription : 23 avr. 2016, 23:37
- Localisation : 47/FR
- Diaspora* : https://framasphere.org/u/hucste
- Contact :
- Status : Hors-ligne
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
-
Mimoza
- Contributeur
- Messages : 655
- Inscription : 22 avr. 2016, 12:00
- Localisation : Terre
- Status : Hors-ligne
Intéressant, je me contentais de SSLabs mais il faut croire que ce n'est pas suffisant.
Pour la config du serveur Web j'utilise l'outil de Mozilla, mais il est vrai que suivant la version du serveur utilisé on ne peux pas forcément atteindre la note maximale.
Pour la config du serveur Web j'utilise l'outil de Mozilla, mais il est vrai que suivant la version du serveur utilisé on ne peux pas forcément atteindre la note maximale.
-
PengouinPdt
- Contributeur
- Messages : 1343
- Inscription : 23 avr. 2016, 23:37
- Localisation : 47/FR
- Diaspora* : https://framasphere.org/u/hucste
- Contact :
- Status : Hors-ligne
Beh, oui, on en apprend "tous les jours" ... et c'est très bien, parce que cela permet de s'améliorer aussi :p
Par contre, j'aimerais comprendre pourquoi avec Chromium, je n'ai pas d'affichage CSS, pas de scripts fonctionnels ... alors que pour Nicolas Hauffman, son site roccsti.net fonctionne bien.
J'essaye par comparaison des entêtes HTTP mais je ne vois pas la différence. Grrr
----
1/ Ahhh, j'ai une amélioration grâce à l'ajout de l'option 'data:' relative au mot-clé 'img-src' ... si les images ne s'affichent pas dans certains navigateurs malgré l'attribut 'self' relative à la déclaration 'img-src', il faut rajouter cette option 'data:', apparemment ...
2/ Maintenant, il me reste plus qu'à traiter ce message d'erreur :
... le refus d'appliquer 'inline style' est le message important à comprendre ... de fait, il faut enlever tout attribut 'style' ... pour être en accord avec la politique CSP.
Par contre, j'aimerais comprendre pourquoi avec Chromium, je n'ai pas d'affichage CSS, pas de scripts fonctionnels ... alors que pour Nicolas Hauffman, son site roccsti.net fonctionne bien.
J'essaye par comparaison des entêtes HTTP mais je ne vois pas la différence. Grrr
----
1/ Ahhh, j'ai une amélioration grâce à l'ajout de l'option 'data:' relative au mot-clé 'img-src' ... si les images ne s'affichent pas dans certains navigateurs malgré l'attribut 'self' relative à la déclaration 'img-src', il faut rajouter cette option 'data:', apparemment ...
2/ Maintenant, il me reste plus qu'à traiter ce message d'erreur :
Résolu !Refused to apply inline style because it violates the following Content Security Policy directive: "style-src 'self' https://maxcdn.bootstrapcdn.com https://cdnjs.cloudflare.com https://fonts.googleapis.com". Either the 'unsafe-inline' keyword, a hash ('sha256-0EZqoz+oBhx7gF4nvY2bSqoGyy4zLjNF+SDQXGp/ZrY='), or a nonce ('nonce-...') is required to enable inline execution.
... le refus d'appliquer 'inline style' est le message important à comprendre ... de fait, il faut enlever tout attribut 'style' ... pour être en accord avec la politique CSP.
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
-
lol
- Site Admin
- Messages : 5054
- Inscription : 04 avr. 2016, 12:11
- Localisation : Madagascar
- Status : Hors-ligne
J'ai essayé rapidement sur le forum.
Un peu la cata... Phpbb aime pas trop ça.
Et je me vois pas mettre les mains dans le cambouis...
Je vais tenter avec la V3.2 qui vient juste de sortir (suis en retard...).
Un peu la cata... Phpbb aime pas trop ça.
Et je me vois pas mettre les mains dans le cambouis...
Je vais tenter avec la V3.2 qui vient juste de sortir (suis en retard...).
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
-
PengouinPdt
- Contributeur
- Messages : 1343
- Inscription : 23 avr. 2016, 23:37
- Localisation : 47/FR
- Diaspora* : https://framasphere.org/u/hucste
- Contact :
- Status : Hors-ligne
Ahhh, oui, fais des tests ailleurs, parce que ce n'est pas simple à maîtriser !
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance