Configuration des points de terminaison pris en charge

En-têtes de sécurité

Les en-têtes de sécurité désignent les en-têtes de réponse HTTP qui peuvent être utilisés pour renforcer la sécurité de votre application. En d'autres termes, ces en-têtes demandent au navigateur web d'activer un ensemble de mesures de sécurité qui protègent votre site contre les attaques.

En-têtes pris en charge

Strict-Transport-Security

Strict Transport Security est un mécanisme de politique de sécurité du web qui aide à protéger les sites web contre les attaques par repli de protocole et le détournement de cookies. Cette politique permet aux serveurs web d'interagir en utilisant des connexions HTTPS sécurisées et non via un protocole HTTP non sécurisé.

X-Frame-Options

L'en-tête de réponse X-Frame-Options améliore la protection des applications web contre le Clickjacking. Cette option désactive les iframes présentes sur le site et n'autorise pas les autres à intégrer votre contenu.

X-XSS-Protection

X-XSS-Protection permet aux développeurs de modifier le comportement des filtres de sécurité anti-script de site à site. Ces filtres identifient les entrées HTML non sûres et bloquent le chargement du site ou suppriment les scripts potentiellement malveillants.

X-Content-Type-Options

Cet en-tête est généralement utilisé pour contrôler la fonction de détection des MIME-Type dans les navigateurs web. Si l'en-tête Content-Type est vide ou manquant, le navigateur identifie le contenu et tente d'afficher la source de manière appropriée.

Content-Security-Policy

Cet en-tête fournit une couche de sécurité supplémentaire contre de multiples vulnérabilités telles que le XSS, le Clickjacking, le repli de protocole et l'injection de trame. Son activation a un impact significatif sur la façon dont les navigateurs affichent les pages.

X-Permitted-Cross-Domain-Policies

Un fichier de politique interdomaines est un document XML qui accorde à un client web, tel que Adobe Flash Player ou Adobe Acrobat (mais pas nécessairement limité à ceux-ci), l'autorisation de traiter des données à travers les domaines.

Referrer-Policy

L'en-tête HTTP Referrer-Policy détermine les informations de référencement, envoyées dans l'en-tête Referrer, qui doivent être incluses dans les demandes faites. En d'autres termes, cet en-tête de sécurité peut être inclus dans la communication entre le serveur du site web et un client.

Feature-Policy

L'en-tête Feature-Policy fournit un mécanisme permettant d'autoriser ou de refuser l'utilisation des fonctionnalités du navigateur et des API dans son propre cadre.

Access-Control-Allow-Origin

L'en-tête Access-Control-Allow-Origin est inclus dans la réponse d'un site web à une demande provenant d'un autre site web, et identifie également l'origine autorisée de la demande.

Expect-CT

Il s'agit d'un en-tête de type réponse qui empêche l'utilisation de faux certificats pour un site et garantit que ceux-ci seront détectés.

Public-Key-Pins

Cet en-tête de réponse est un mécanisme de sécurité qui permet aux sites web HTTPS de résister à l'usurpation d'identité par des attaquants utilisant des certificats mal émis ou autrement frauduleux.

En quoi les en-têtes affectent la cote du serveur ?

L'en-tête Strict-Transport-Security, par exemple, est noté. L'explication est donnée ci-après :

Validation Notation du serveur
max-age < 10368000 (120 days) At risk
max-age >= 10368000 et max-age < 31536000 Secure
max-age >= 31536000 (1 an) Très sécurisé

Strict-Transport-Security n'est évaluée que si la demande aboutit (HTTP 200 OK).

En-têtes de réponse HTTP

Les en-têtes de réponse HTTP contiennent des informations, notamment la date, la taille et le type de fichier que le serveur web renvoie au navigateur à la réception d'une requête HTTP.

Tous les en-têtes reçus dans une réponse HTTP sont disponibles pour analyse.

Chiffrer

Pour une communication sécurisée, le client TLS et le serveur doivent se mettre d'accord sur les algorithmes et les clés cryptographiques qu'ils utilisent tous deux pour la connexion sécurisée.

Toutefois, il existe de nombreuses combinaisons possibles et TLS n'autorise que certaines combinaisons bien définies de ces choix, connues sous le nom de Cipher Suites.

Discovery identifie toutes les suites de chiffrement prises en charge par le serveur et les classe dans les catégories Non sécurisé, Faible, Sécurisé, sur la base des meilleures pratiques du secteur.

Faible

  1. Suite de chiffrement avec AES en mode CBC
  2. 3DES

Non sécurisé

  1. RC4
  2. Chiffrements EXPORT.
  3. Chiffrements utilisant le MD5
  4. Chiffrements nuls
  5. Chiffrements utilisant l'authentification anonyme
  6. DES

La catégorie “Secure” comprend les suites de chiffrements recommandées qui sont sécurisées à l'utilisation.