Sécurité web 4Dv17 noté seulement 35/100 par Mozilla

La pub de la v17 disait qu’avec HSTS, on avait une notation maximale, mais je n’ai réussi qu’à avoir 35/100 avec le test de Mozilla qui semble assez complet.

voici quues infos :

Test Scores
Test Pass Score Explanation
Content Security Policy -25 Content Security Policy (CSP) header not implemented
Cookies -5 Cookies set without using the Secure flag, but transmission over HTTP prevented by HSTS
Cross-origin Resource Sharing 0 Content is not visible via cross-origin resource sharing (CORS) files or headers
HTTP Public Key Pinning 0 HTTP Public Key Pinning (HPKP) header not implemented (optional)
HTTP Strict Transport Security 0 HTTP Strict Transport Security (HSTS) header set to a minimum of six months (15768000)
Redirection 0 Initial redirection is to HTTPS on same host, final destination is HTTPS
Referrer Policy 0 Referrer-Policy header not implemented (optional)
Subresource Integrity 0 Subresource Integrity (SRI) not implemented, but all scripts are loaded from a similar origin
X-Content-Type-Options -5 X-Content-Type-Options header not implemented
X-Frame-Options -20 X-Frame-Options (XFO) header not implemented
X-XSS-Protection -10 X-XSS-Protection header not implemented

C’est voir le verre à moitié vide, 4D fait https://observatory.mozilla.org/analyze/www.google.comaussi bien que google>

T’es rien qu’un négatif, Luc :mrgreen:

ce n’est pas être négatif que de vouloir mesurer les évolution. Si 4D augmente la sécurité des connexions, c’est tant mieux, mais autant que ce soit de manière complete.

Ce test Mozilla pourra peut-être faire évoluer la note de 4D dans la version R2 (tu vois que je positive :roll:), car ca va devenir une référence chez les développeurs web.

pour ceux qui n’avaient pas vu le lien :

https://observatory.mozilla.org

: Luc STELL

ce n’est pas être négatif que de vouloir mesurer les évolution.
Je pense que c’est dit sur le ton de l’humour :mrgreen:

En réalité j’étais en mode troll qui cherche des poux sur le forum sans rien comprendre au problème, mister green n’étant là que pour qu’on se demande s’il faut penser le contraire.

J’aime bien le coté ambigu de mister green.

Bonjour,

Je ne suis pas spécialiste, mais il me semble à ce que je comprend que c’est au créateur de la page d’ajouter les entêtes CSP :

https://openweb.eu.org/articles/content-security-policy

Donc que cela ne vient pas de 4D.

Mais je comprends peut être mal. Je suis néophyte en la matière.

merci, Hervé, cet article est vraiment intéressant, et pose par ailleurs d’autres questions.
Je vais faire quelques tests, car comme indiqué dans l’article, il faut faire attention par ex. à tous les scripts, polices… venus d’autres sites.
A mettre donc en entête des réponses HTML quand c’est possible.

J’ai créé ce post car j’avais lu sur le blog 4D qui présente la
fonctionalité :

Simply upgrade to 4D v17 and enable HSTS to get the A+ ranking (the
highest level) from SSL Labs for your web sites!

J’ai simplement fait le test. Cela apporte sans contestation de nouvelles possibilités, mais c’est sans doute un peu plus complexe à réaliser pour obtenir une bonne notation.

Score de www.4D.com = 0/100
Comme quoi c’est souvent le cordonnier qui est le plus mal chaussé.

: Luc STELL

Score de www.4D.com = 0/100
Comme quoi c’est souvent le cordonnier qui est le plus mal chaussé.
Il me semble qu’au summit ils avaient annoncé une refonte de ce site.