Dans cette lutte implacable, Madame Michu (ou mamie du Cantal[1]) dispose d'un navigateur qu'elle a téléchargée sur Internet, ou qui lui a été livré avec son ordinateur PC ou Mac (il est loin le temps des Kit FAI avec le navigateur moisi fourni[2][3]).
Récemment un certain nombres de fonctionnalités sont apparues (sous forme de draft IETF voir plus) permettant d'améliorer la sécurité globale dans un monde Web.
Voici donc quelques "outils" que vous allez pouvoir utiliser pour "aider" le navigateur et la sécurité de votre application Web :
- Content Security Policy : essaye de palier a des attaques de type XSS, clickjacking et d'autres attaques clients.
- HTTP Strict Transport Security : forcer le dialogue en SSL/TLS
- X-Frame-Options : permet de lutter contre le clickjacking.
- X-Origin : permettant de lutter contre les attaques de type CSRF.
- X-Content-Type-Options : permet d'éviter au navigateur d'essayer de lire le contenu avant interprétation et de faire confiance au serveur sur le type de contenu
- X-XSS-Protection : avec un nom pareil, tout est dit.
Avec tous ces éléments il devient vite simple de s'y perdre....Nous allons voir dans les semaines a venir l'utilité de chacun des éléments.
Tout d'abord il est nécessaire de comprendre que l'ensemble de ces éléments est une entête de retour supplémentaire ajoutée par le serveur (votre application). Pour cela il suffit d'ajouter dans votre code les éléments suivants :
response.setHeader("X-Mon-Entete", "lavaleurnecessaire");
C'est aussi simple que cela.
1:Madame michu et mamie du cantal
2: (http://assistance.orange.fr/presentation-du-gestionnaire-internet-version-7-4-anciennement-espace-wanadoo-1570.php)
3: mais avec nos amis d'HADOPI, je sens bien que ca va revenir
Aucun commentaire:
Enregistrer un commentaire