Laetitia boiron <boiron.laetitia@gmail.com> writes:
Bonjour,
je viens vous voir pour discuter des performances du CMS Spip.
Récemment j’ai été amenée à utiliser des simulateurs de vitesse et
performance comme Dareboost.
Je viens de tester ce "Dareboost" sur mon site perso.
Premier constat, il ne fait que me renvoyer les mêmes informations que
Google.
S'en suis tout un tas de message plus alarmant les uns que les autres
que je vois plutôt comme des avertisement que comme de vrai problème.
- Site exposé aux « Click jacking » (je pensais qu’une mise à jour
avait sécurisé ce type d’attaque)
A moins que ton site ne publie automatiquement des content produit pas
les visiteurs, je pense que tu ne risque pas grand chose... Et même si
c'est le cas.
- Bloquer l'accès à la page entière lorsqu'une attaque XSS est
suspectée ( ??? )
Heu, c'est un peu méchant quand même...
- Désactiver la détection auto du type de ressource (je fais ça où ?)
Selon ce même site :
Une personne malveillante pourrait profiter d'un envoi de fichier sur
votre site par exemple pour injecter du code malveillant. Nous vous
conseillons de désactiver le MIME-Type sniffing pour limiter les effets
de l'envoi d'un tel fichier.
Est-ce que tu te trouve dans ce cas ?
- il me dit que la politique de sécurité du site est manquante alors
que cette page existe ! Comment faire pour améliorer ça ?
Il parle des Content-Security-Policy, aka CSP.
Je te laisse te renseigné sur ce vaste sujet. Sujet a débat car certain
pense que cela ne sert pas a grand chose...
Il n’aime clairement pas non plus que l’appel JS se fasse dans le
head. Pourquoi d’ailleurs c’est toujours dans le head alors qu’il est
toujours conseillé de le mettre avant la fermeture de la balise body ?
Un script placé dans le body doit être adapter a cet emplacement. Tout
ne fonctionne pas toujours s'il ce trouve dans le body.
Et ce n'est pas automatiquement parce que le développeur du script est
mauvais.
Quand aux performances, la gourmandise des applications javascript est
plus en tord que la position de la balise script...
Bref, les outils d'analyse automatique sont bien quand tu cherches des
indications pour savoir ce que tu devrait peut être améliorer. Mais
inutile de paniquer, il faut analyser les rapports avant.
Sur un Spip 3.1.8, j’ai des erreurs assez inquiétantes :
- Site exposé aux « Click jacking » (je pensais qu’une mise à jour avait sécurisé ce type d’attaque)
- le fichier robots.txt n’est pas défini (il est dans le squelette oui, mais je ne savais pas qu’il fallait le mettre manuellement)
- Bloquer l'accès à la page entière lorsqu'une attaque XSS est suspectée ( ??? )
- Désactiver la détection auto du type de ressource (je fais ça où ?)
- il me dit que la politique de sécurité du site est manquante alors que cette page existe ! Comment faire pour améliorer ça ?
Il n’aime clairement pas non plus que l’appel JS se fasse dans le head. Pourquoi d’ailleurs c’est toujours dans le head alors qu’il est toujours conseillé de le mettre avant la fermeture de la balise body ?
Merci pour vos retours
TEENOO
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net
Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html
Infos : https://listes.rezo.net/mailman/listinfo/spip
Documentation de SPIP : http://www.spip.net/
Irc : de l'aide à toute heure : http://spip.net/irc