|
|
Après avoir sécurisé notre serveur Apache2 nous avons décider de sécuriser les "En-tête" HTTP en anglais appelé "Header".
|
|
|
Lien vers le site à étudier si vous souhaitez mettre en place ce mécanisme :[https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#tab=Main](url)
|
|
|
|
|
|
Voici la liste des "Header" HTTP à sécuriser :
|
|
|
|
|
|
* HTTP Strict Transport Security (HSTS)
|
|
|
* Public Key Pinning Extension for HTTP (HPKP)
|
|
|
* X-Frame-Options
|
|
|
* X-XSS-Protection
|
|
|
* X-Content-Type-Options
|
|
|
* Content-Security-Policy
|
|
|
* X-Permitted-Cross-Domain-Policies
|
|
|
* Referrer-Policy
|
|
|
* Expect-CT
|
|
|
* Feature-Policy
|
|
|
|
|
|
En suivant cette liste nous avons pu sécurisé nos en-tête HTTP. Vous vous demandez surement à quoi servent-ils ? contre quoi nous protègent-ils ?
|
|
|
Nous allons détaillé quelques directives afin que vous puissiez avoir une idée. Pour commencer je vais prendre la directive **HSTS**(HTTP Strict Transport Security), cette option permet à notre site web se se protéger contre les attaques suivantes :
|
|
|
|
|
|
* downgrade attacks (Attaque par déclassement qui fais passer un site sécurisé à moins sécurisé)
|
|
|
* cookie hijacking (permet le détournement de session)
|
|
|
Non seulement nous somme protégé contre des attaques de ce type mais cette sécurité oblige un user agent d'interagir avec notre site web que en HTTPS.
|
|
|
|
|
|
**X-Frame-Options**
|
|
|
|
|
|
Cette option nous protège contre les attaques "Clickjacking" qui consiste à faire croire à l'utilisateur qu'il clique sur le bon onglet alors qu'il est entrain d'activer les services dont le hacker a besoin pour attaquer.
|
|
|
|
|
|
**X-XSS-Protection**
|
|
|
|
|
|
Cette option si nous permet de nous protéger contre les faille "Cross Site Scripting". XSS est une attaque à base d'injection de code, l'attaquant envoie un script malveillant afin de nous soutirer des informations critiques et pouvoir les utiliser contre nous.
|
|
|
|
|
|
**X-Content-Type-Options**
|
|
|
|
|
|
Cette directive permet au navigateur compatible (Google Chrome ou Internet Explorer) de charger, par exemple, que les feuilles de style dont le type Mime est « text/css »
|
|
|
|
|
|
**Content-Security-Policy**
|
|
|
|
|
|
L’en-tête Content-Security-Policy permet de restreindre l’accès à une ressource (un script JavaScript, une feuille de style, etc.) dans une page web à certains sites autorisés. Cela va permettre d'atténuer une attaque de type XSS. |
|
|
\ No newline at end of file |