Accueil
Sécurité
Google demande aux éditeurs d'ajouter des en-têtes de réponse Nosniff

Google demande aux éditeurs d’ajouter des en-têtes de réponse Nosniff

Google demande aux éditeurs d’ajouter des en-têtes de réponse Nosniff

Google a publié une mise à jour de sécurité pour Chrome et a demandé aux développeurs web de délivrer une en-tête de réponse en nosniff pour aider à prévenir les piratages via les navigateurs web. Cette question est importante si vous êtes un Référenceur, un développeur web, un concepteur web ou un éditeur de site.

Votre site est-il protégé ? contactez nous !

Pourquoi la mise à jour de sécurité est-elle importante ?

Les attaques Spectre & Meltdown exploitent les vulnérabilités de l’appareil d’un visiteur pour voler des informations sensibles comme les mots de passe. Cela pose un problème d’expérience utilisateur.

Ce quefait la mise à jour de Chrome
Chrome mis à jour à la version 67. Il introduit une fonctionnalité qui était auparavant en version bêta appelée « Isolation du site« . L’isolation du site est une méthode pour prévenir une attaque sur le navigateur d’un visiteur du site.

Selon la page des développeurs de Chrome :

« L’isolation du site est une fonction de sécurité de Chrome qui offre une protection supplémentaire contre certains types de bogues de sécurité. Il est plus difficile pour les sites Web non dignes de confiance d’accéder ou de voler des informations de vos comptes sur d’autres sites Web…

Site Isolation offre une deuxième ligne de défense pour rendre de telles attaques moins susceptibles de réussir. Il garantit que les pages de différents sites Web sont toujours placées dans des processus différents, chacun s’exécutant dans un bac à sable qui limite ce que le processus est autorisé à faire. Il permettra également d’empêcher le processus de recevoir certains types de données sensibles en provenance d’autres sites. Par conséquent, un site Web malveillant aura plus de difficulté à voler les données d’autres sites, même s’il peut enfreindre certaines règles dans son propre processus ».

Ce que demande Google

Il y a deux choses que l’équipe Chrome de Google demande aux développeurs et aux éditeurs de faire afin d’aider la fonction d’isolation du site de Chrome à travailler plus efficacement.

  1. Vérifier que les ressources sont servies avec des en-têtes de réponse « Content-Type » corrects.
  2. Et que les ressources sont servies avec un en-tête de réponse nosniff.

Voici ce que dit la page des développeurs de Google :

Pour les ressources HTML, JSON et XML :
Assurez-vous que ces ressources sont servies avec un en-tête de réponse « Content-Type » correct de la liste ci-dessous, ainsi qu’un en-tête de réponse « X-Content-Type-Options : nosniff ». Ces en-têtes permettent à Chrome d’identifier les ressources comme nécessitant une protection, sans dépendre du contenu des ressources.

HTML MIME type – « text/html ».
Type MIME XML – « text/xml », « application/xml », ou tout type MIME dont le sous-type se termine par « +xml ».
JSON MIME type – « text/json », « application/json », ou tout type MIME dont le sous-type se termine par « +json ».

En-tête de réponse Nosniff
L’en-tête de réponse Nosniff est un moyen de garder un site Web plus sûr.

L’en-tête de réponse nosniff empêche Google Chrome et Internet Explorer d’essayer de mime-sniffer le type de contenu d’une réponse en dehors de celle déclarée par le serveur ».

Chrome 67 dispose désormais d’un processus automatisé pour protéger les utilisateurs des attaques Spectre et Meltdown. Cependant, Google recommande aux développeurs web de ne pas se fier à ce processus automatique, mais de l’indiquer clairement dans l’en-tête de réponse nosniff :

Quand l’en-tête « nosniff » n’est pas présent, Chrome regarde d’abord au début du fichier pour essayer de confirmer s’il s’agit de HTML, XML ou JSON, avant de décider s’il faut le protéger ou non. S’il ne peut pas le confirmer, il permet à la réponse d’être reçue par le processus de la page intersite. Il s’agit d’une approche qui ajoute une protection limitée tout en préservant la compatibilité avec les sites existants. Nous recommandons aux développeurs web d’inclure l’en-tête « nosniff » pour protéger leurs ressources, afin d’éviter de s’appuyer sur cette approche de « reniflage de confirmation.

Comment ajouter l’en-tête Nosniff response header

La première chose à faire est de vérifier vos en-têtes de sécurité. SecurityHeaders.com est un outil gratuit et facile à utiliser qui analyse les sites Web pour voir s’il leur manque des en-têtes liés à la sécurité.

Si vous avez besoin d’implémenter un en-tête de réponse nosniff, vous pouvez utiliser htaccess.

Code Htaccess pour l’en-tête de réponse de nosniff :

<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
</IfModule>

Comment ajouter l’en-tête de réponse Nosniff sur WordPress

Si vous êtes sur WordPress, il y a deux plugins qui peuvent être utilisés pour ajouter plusieurs en-têtes de sécurité importants, y compris l’en-tête nosniff. Le premier, avec plus de 3 000 installations, s’appelle Security Headers. C’est un plugin facile à utiliser avec des paramètres minimaux qui ne fait qu’une seule chose et le fait bien.

Le second plugin est appelé HTTP Headers to Improve Security avec plus de 1000 installations. Ce plugin contient plus de fonctionnalités pour renforcer votre sécurité, y compris la mise en place d’un en-tête CSP (Content-Security-Policy), ce qui aide à prévenir les scripts et le clickjacking.

Le troisième plugin a plus de 6000 installations, est facile à utiliser et est complet. Il s’appelle, les HTTP Headers. Ce plugin établit un équilibre entre la facilité d’utilisation et l’exhaustivité. Utilisez votre propre jugement et choisissez ce qui vous convient le mieux.

Avertissement : J’ai tendance à utiliser les plugins qui ont le plus d’installations et les notes les plus élevées. Mais ces paramètres élevées ne garantissent pas qu’un plugin sera sans problèmes et sans bogues. Soyez toujours vigilant lors de l’installation des plugins.

Note : Si vous utilisez W3 Total Cache,Hyper Cache, ou d’autres plugins de mise en cache pour votre site internet… assurez-vous de vider votre cache après avoir mis à jour les paramètres d’un plugin. Sinon, les réglages risquent de ne pas être pris en compte.

Les en-têtes d’intervention de sécurité sont importants
Même si Google Chrome ne demandait pas aux éditeurs d’ajouter l’en-tête de réponse nosniff, c’est quand même une bonne idée d’ajouter cela et d’autres en-têtes de réponse de sécurité à un site.