27 réponses à ce sujet

[Iceman 29]

5 octobre 2019

 

https://www.clubic.c...ages-https.html

 

Chrome 79 va bloquer les contenus non sécurisés sur les pages HTTPS

 

Prévue pour décembre 2019, la mise à jour Chrome 79 promet des changements importants en matière de sécurité. Le temps des contenus mixtes non sécurisés est désormais compté.

 

En tant que principal acteur du marché, Google a su encourager le développement et l'utilisation du protocole HTTPS sur l'ensemble des pages web visitées par les internautes. Toutefois, si le protocole se veut plus sécurisé que son prédécesseur, il n'en demeure pas moins exposé à des failles. Certaines pages sécurisées en apparence sont entachées de la présence de contenu mixte, que Google souhaite définitivement bloquer.

 

Le contenu mixte dans la ligne de mire du géant américain

Malgré l'influence de Google, le HTTP est encore souvent présent sur des sites comportant des informations de mineure importance. A contrario, le HTTPS, reconnaissable à son cadenas vert dans la barre de navigation, assure un échange sécurisé des données. Il arrive qu'une page sécurisée et chargée via HTTPS comporte des ressources additionnelles, chargées quant à elles via une connexion HTTP. On parle alors de contenu mixte (« mixed content »).

 

Une page web HTTPS contenant des données HTTP (images, vidéos, scripts, feuilles de style) n'est que partiellement chiffrée et est donc plus exposée à d'éventuelles attaques. Pour encourager une migration complète vers HTTPS, Chrome avait déjà commencé à sanctionner les sites employant le protocole HTTP. Ceux-ci portaient une mention « Non sécurisé » bien visible. Les sites chargés via HTTPS étaient également affublés de l'indicateur « Non sécurisé » si un contenu mixte était présent sur la page. Aujourd'hui, Google prévoit d'adopter des mesures supplémentaires de contrôle et de blocage du contenu mixte, afin de garantir une sécurité accrue aux internautes.

 

Un blocage progressif qui s'inscrit dans un projet de longue date

Le navigateur Google Chrome entend bloquer, puis définitivement supprimer l'ensemble des contenus mixtes encore présents sur les pages web. Pour faire de cette entreprise délicate un succès, le leader mise sur une approche progressive et par étapes, laissant ainsi aux sites un nécessaire temps d'adaptation et de transition. Le blocage graduel du contenu mixte débutera en décembre 2019, avec le lancement de Chrome 79. Certaines pages pourront être débloquées par les utilisateurs s'ils les considèrent sécurisées et dignes de confiance. Chrome 80, attendu pour sa part en début d'année prochaine, se fera déjà plus sévère, notamment au niveau des ressources audio et vidéos, bloquées par défaut. Enfin, le lancement de Chrome 81 vers février 2020 marquera la dernière étape de ce vaste chantier, bloquant par défaut tous les contenus mixtes présents sur des pages HTTPS.

 

Notons que l'implication de Google dans la démocratisation et dans la diffusion du protocole HTTPS ne date pas d'hier. L'entreprise œuvre depuis de nombreuses années pour une adoption généralisée de ce standard, et ses efforts sont payants, puisque 90 % du trafic opéré sur Chrome est réalisé via des pages HTTPS.

[Ma✘ime]

Hello Pascal,

Effectivement, c'est une bonne idée.
Nous allons mettre cela en place =).
 

Bonne journée !

[Ma✘ime]

Voilà qui est fait !

[Paul]

Magic Max aurait-il encore frappé ?...

[Ma✘ime]

Le processus peut mettre en 24/48h pour se propager chez tout le monde.

Astuces pour accélérer la chose en cas de souci:

1) Actualiser plusieurs fois la page.

2) Vider son cache DNS: https://kinsta.com/f...ider-cache-dns/

[Edelrot]

Pour aller encore plus loin, on pourrait également supprimer des Headers HTTP en sortie, qui donnent de l'info sur le serveur / CDN.

 

Car en regardant ces infos, on voit que la version PHP est très ancienne et vulnérable.  On peut très facilement exploiter ces vulnérabilités connues.

 

 

Et rajouter ceux-ci pour se prémunir d'attaques (clickjacking et Cross-Site Scripting).  Et aussi forcer l'utilisation du HTTPS dans tout le site.  

 

X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=31536000;

[Paul]

Allez-y, les Soft-Techs !

 

Que le For-um devienne For-Knox !

[Ma✘ime]

Voilà qui est fait.
Il reste juste le header Server de cloudflare qui se rajoute en sur-couche. A voir comment l'enlever si besoin.

[Edelrot]

Toujours aussi efficace Maxime !  

 

Pour le server, sur certains CDN on peut simplement réécrire le header en mettant quelque chose de non significatif.

[10000tr]

 

Pour aller encore plus loin, on pourrait également supprimer des Headers HTTP en sortie, qui donnent de l'info sur le serveur / CDN.

 

Car en regardant ces infos, on voit que la version PHP est très ancienne et vulnérable.  On peut très facilement exploiter ces vulnérabilités connues.

 

 

Et rajouter ceux-ci pour se prémunir d'attaques (clickjacking et Cross-Site Scripting).  Et aussi forcer l'utilisation du HTTPS dans tout le site.

 

X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=31536000;

 

 

 Si tu le dis .... :D

[Ma✘ime]

Toujours aussi efficace Maxime !

 

Pour le server, sur certains CDN on peut simplement réécrire le header en mettant quelque chose de non significatif.

 

J'ai mis un header différent chez nous, mais en fait Cloudflare passe au dessus. 

[Edelrot]

À priori avec Cloudflare, il est possible de le faire en utilisant le service Cloudflare Worker.

 

Un petit exemple ici : https://scotthelme.c...udflare-worker/

 

Mais ce n'est pas très grave, si server indique Cloudflare.  Ça peut rester comme ça.  

[nicogri]

Du coup je sais pas si c'est lié mais je n'arrive pas à me connecter avec Tapatalk ce soir...

Merci aux admins pour le boulot

[croco60-32]

Du coup je sais pas si c'est lié mais je n'arrive pas à me connecter avec Tapatalk ce soir...

Merci aux admins pour le boulot

 

Idem ça ne fonctionne plus sur Tapatalk.

[elbarbou]

 

Pour aller encore plus loin, on pourrait également supprimer des Headers HTTP en sortie, qui donnent de l'info sur le serveur / CDN.

 

Car en regardant ces infos, on voit que la version PHP est très ancienne et vulnérable.  On peut très facilement exploiter ces vulnérabilités connues.

 

 

Et rajouter ceux-ci pour se prémunir d'attaques (clickjacking et Cross-Site Scripting).  Et aussi forcer l'utilisation du HTTPS dans tout le site.

 

X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=31536000;

 

Je propose aussi de mettre 20cl de mecacyl, ou alternativement du P18. Ca peut pas faire de mal.

[Edelrot]

Pour les utilisateurs de Tapatalk, vous avez essayé de fermer complètement l'application et relancer ?  

 

C'est ce que j'ai fait de mon côté, et ça fonctionne normalement.

[Nayleen]

Pour les utilisateurs de Tapatalk, vous avez essayé de fermer complètement l'application et relancer ?

 

C'est ce que j'ai fait de mon côté, et ça fonctionne normalement.

 

Ca continue à me coller une Network error ici

[Edelrot]

Il est possible que votre DNS ne soit pas encore rafraîchit.  Voir le lien de Maxime pour vider le cache.

 

Le processus peut mettre en 24/48h pour se propager chez tout le monde.

Astuces pour accélérer la chose en cas de souci:

1) Actualiser plusieurs fois la page.

2) Vider son cache DNS: https://kinsta.com/f...ider-cache-dns/

[nicogri]

Ce matin c'est good pour moi