Sécurisation des navigateurs web : Différence entre versions

De Docaposte Cyberdéfense
Aller à : navigation, rechercher
 
(8 révisions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
Expliquer les notions des headers et comment les tester
+
Les entêtes Http permettent de protéger de manière simple son portail web de vulnérabilité connu. Elle se paramètre soit directement sur le serveur web soit sur un load balancer (type Bigip).
  
 +
Les entêtes sont très facilement testable en ligne et permet d'obtenir une note allant de A à F.
  
'''X-FRAME-OPTIONS'''
+
'''Recommandation COSC:'''
  
L’en-tête HTTP X-Frame-Options permet d’indiquer aux navigateurs supportant cette extension, d’afficher ou non une page dans un champ HTML ‘<frame>’, ‘<iframe>’ ou ‘<object>’.
+
A est la note recommandé par le COSC.
  
L’Intérêt cet en-tête est de se protéger des attaques de type « ClickJacking », en s’assurant que le contenu du site internet à protéger ne soient pas embarqués dans d’autres sites.
+
===<div style="color:#FFFFFF; background-color:  #046AAF">'''Tester ma plateforme'''</div>===
  
Utilisation du X-Frame-Options
+
  <btn class="btn-primary">
 +
        Test des entêtes HTTP|Tester
 +
    </btn>
  
Il est possible d’utiliser 3 valeurs de paramétrage :
+
===<div style="color:#FFFFFF; background-color:  #046AAF">'''Corriger ma plateforme'''</div>===
  
'''DENY :''' La page ne pourra pas être affichée dans une balise <(i)frame>
+
  <btn class="btn-primary">
 
+
        Mise en place des entêtes HTTP|Corriger
'''SAMEORIGIN :''' La page ne pourra être affichée dans une balise <(i)frame>que si la page provient du même domaine et du même port (SOP : Same Origin Policy )
+
    </btn>
 
 
'''ALLOW-FROM uri :''' La page ne pourra être affichée dans une balise <(i)frame> que si elle provient de l’origine spécifiée.
 
 
 
Si vous spécifions DENY, il sera impossible de faire des frames dans le site Internet, même avec des pages internes.
 
Si vous souhaitez intégrer des frames de votre site (même domaine), il faudra utiliser SAMEORIGIN mais il faudra faire attention que les pages à inclure soient présentes sur le même protocole (par exemple il n’est pas possible d’inclure la page http://www.docapost.fr/page1.html depuis la page https://www.docapost.fr/page2.html).
 
Enfin, si vous avez besoin d'intégrer des pages externes, il faudra utiliser ALLOW-FROM et spécifier le domaine ou la page.
 
 
 
Configuration
 
 
 
Bigip
 
 
 
Apache
 
 
 
IIS
 

Version actuelle datée du 26 juillet 2018 à 11:31

Les entêtes Http permettent de protéger de manière simple son portail web de vulnérabilité connu. Elle se paramètre soit directement sur le serveur web soit sur un load balancer (type Bigip).

Les entêtes sont très facilement testable en ligne et permet d'obtenir une note allant de A à F.

Recommandation COSC:

A est la note recommandé par le COSC.

Tester ma plateforme

Tester

Corriger ma plateforme

Corriger
Récupérée de « https://csirt.docapost.fr/index.php?title=Sécurisation_des_navigateurs_web&oldid=1944 »