Sécurité CSP et Cookies

Développement Propositions d'améliorations
#1

Bonjour,
Nouvel utilisateur de YessWiki, j’ai constaté qu’il y avait des anomalies sur « Content Security Policy » et les « Cookies » lors d’un scan de sécurité.

Pour les petits biscuits je pense que la solution est simple en ajoutant l’option « Secure » pour la clef « Set-Cookie ».

Pour le CSP, c’est un peu plus complexe, car cela touche au Javascript utilisé dans le wiki. Je ne suis pas certain qu’une simple modification de l’entête avec la clef « Content-Security-Policy » et les valeurs adéquates, mais à tester.

Je vous remercie pour votre aide

Belle journée,

#2

Bonjour,
Merci pour ce retour, mais ca manque un peu de contexte : quel outil utilisez-vous? que dit exactement le rapport? quel est votre hébergeur?

Certaines choses pourraient être faites coté hébergeur plutôt que coté code de YesWiki, Par exemple de Secure pour set-cookie par défaut rendrait l’identification sur des YesWiki en http (non sécurisé) impossible. On pourrait peut être le tester si le wiki est configuré en https, mais il y a sans doute des cas exotiques.

Pour les CSP, il faudrait en savoir plus, car a certains moments on utilise des requêtes ajax, et on envisage de faire de l’inter-wiki, sur différents domaines, donc il y a un juste milieu entre les considérations de sécurité et d’ouverture pour certaines fonctionnalités.

Si vous nous donnez un peu plus de détail, on pourra creuser si vous voulez!

#3

Bonjour,

Je vous remercie pour votre réactivité.

J’utilise, entre autre et je pense que cet outil résume bien l’ensemble des besoins, HTTP Header Security Test - HTTP Observatory | MDN.

Le test a été fait sur le YesWiki.net : PagePrincipale et je n’ai pas encore mise en place sur un serveur externe pour reproduire le test sur mon installation. Je vous tiens au courant dès que ce sera fait .

En ce qui concerne Secure, c’est assez simple de l’implanter sur un serveur. Par contre, le CSP demande plus de contraintes, je comprends très bien. Je vais faire un debug des sources et je reviens vers vous dès que j’ai plus de précision.

Des urgences cette semaine m’ont bien occupées et m’ont détournées de ce projet.

Belle journée,

1 « J'aime »