Htaccess et error 500

(reprise du message précédent)

Ah beh super, merci pour ce lien. En fait il me dit quelque chose, je me demande si je l'ai pas perdu au fin fond de mes signets.

Bon, le score est de 92/100, ce qui est pas mal mais par contre il me dis que je ne suis pas HTML ni CSS ? Euh, pourtant je passe la validation HTML5...

D'ailleurs je n'ai pas d'erreur dans la console du navigateur, enfin qu'une et encore, pas toujours.

D'ailleurs ça me donne une question, ces erreurs proviennent certainement de Bootstrap, un moyen pour les éviter ?
Modifié par MagicCarpet (17 Feb 2015 - 00:12)

les erreurs si elles sont dues à bootstrap ne te concerne pas

vois si il existe une MAJ ou bien il faudra attendre la prochaine

Ouais alors la mise à jour, j'y crois pas

De mémoire (je n'ai pas le projet sous la main là) j'ai la v3.3.1 et la 3.3.2 est dispo mais bon...

Alors j'ai refais les tests de validation avec le w3c et le validator HTML5, je passe les deux sans problèmes. Toutefois pour le validator HTML5 j'ai un warning que je n'avais pas avant.

Depuis le lien que tu m'as passé, le site Dareboost m'indiqué de ne pas utiliser la balise suivante (plus précisemment la meta http-equiv) :

<meta http-equiv="X-UA-Compatible" content="IE=edge" />

J'ai fais une recherche sur le net et j'ai vu sur Alsa qu'il fallait faire ceci (sauf si j'ai rien compris) :

[if IE]><meta http-equiv="X-UA-Compatible" content="IE=edge" /><![endif]

NOTE : le if IE et endif sont correct, là je pense que c'est soit un problème de copier/coller.

Avant je n'avais rien mais maintenant j'ai donc ce warning :

    Warning: X-UA-Compatible is a browser-specific HTTP header.

Bref, si tout le monde pouvait se mettre d'accord ça serais quand même pas mal

A oui, sinon j'avais 92 sur Dareboost, après quelques petites modifications je suis à 96
Modifié par MagicCarpet (17 Feb 2015 - 10:23)

lol

les hacks ne sont pas reconnus par le w3c c'est pas nouveau

Ah ok, je ne savais pas que c'était un hack.

Mais du coup je comprends encore moins

Avant la balise était bien présente mais sans la condition, je n'avais pas ce message. Alors c'est quoi le hack, c'est la condition, la meta http-equiv ou les deux réunis ?

c'est la condition le hack puisque tu défini de l'utiliser que si IE
c'est comme les moz- ou autres du même genre en css

reconnaitre les hacks dans le code évite de s'arracher les cheveux pour enlever des erruers qui n'en sont pas

Ok, merci pour tes réponses.

J'ai une dernière question, j'ai une erreur que je pourrais améliorer afin d'augmenter mon score mais surtout la sécurité. Par contre je n'y comprends pas grand chose, je dois apparemment ajouter quelque chose dans le htaccess mais je ne sais pas quoi exactement, voici l'erreur :

0/100
Il manque une politique de sécurité sur la provenance de vos ressources
Il est primordial de garantir la provenance des contenus d'une page en vous prémunissant d'attaques de type XSS (Cross-Site Scripting).

Les attaques XSS

Une attaque de type XSS (Cross-Site scripting) a pour objectif d'injecter un contenu sur la page.

Pour accroître votre protection contre ces attaques, mettez en place une politique de sécurité qui va expliciter au navigateur web les serveurs qui sont autorisés à délivrer des ressources pour former la page. Si le navigateur effectue une requête vers un serveur non autorisé, il doit en informer l'internaute.

La solution : configurer un en-tête HTTP "Content-Security-Policy" (CSP)

Pour spécifier une politique de sécurité sur la provenance de vos ressources, vous devez configurer votre serveur afin que la réponse de la ressource principale contienne l'en-tête HTTP "Content-Security-Policy".

Voici un exemple d'utilisation de cet en-tête :

Content-Security-Policy: script-src 'self'  https://apis.google.com
 
Dans ce cas, la page se charge correctement à condition que tous les scripts proviennent de l'hôte courant ou de  https://apis.google.com.
 

Le lien suivant vous aidera à en savoir plus sur cet en-tête HTTP. Vous serez alors ammené à utiliser les directives exposées sur ce lien.

Apache logo La CSP peut se configurer avec Apache. Assurez vous tout d'abord que le module mod_headers est bien activé. Ensuite, dans votre configuration, vous pouvez indiquer votre politique de sécurité en adéquation avec votre cas. Ci-dessous un exemple :

Header set Content-Security-Policy "script-src 'self'  https://www.google.com"
 
Dans cet exemple, la page n'accepte que les scripts provenant du même nom de domaine et de google.com.


Aucune CSP n'a été détectée sur cette page : elle est plus facilement exposée à des attaques de type XSS.

Que dois-je faire ?

Merci.

tu as cet exemple -> http://wp-mix.com/block-xss-htaccess/

je ne l'ai pas testé.

Nop, la bonne nouvelle c'est que je n'ai pas d'erreur 500 (j'avais peur de cela a cause du mod rewrite) mais j'ai toujours ce message avec le test de dareboost.

EDIT : il y a ce code dans le htaccess de Boilerplate que j'ai décommenté mais cela ne change rien sur le plan sécurité :

# <IfModule mod_headers.c>
#     #                           (1)    (2)
#     Header set X-XSS-Protection "1; mode=block"
#     # `mod_headers` cannot match based on the content-type, however,
#     # the `X-XSS-Protection` response header should be send only for
#     # HTML documents and not for the other resources.
#     <FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|topojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|woff2?|xloc|xml|xpi)$">
#         Header unset X-XSS-Protection
#     </FilesMatch>
# </IfModule>

Modifié par MagicCarpet (17 Feb 2015 - 19:33)

Pour débugger un .htaccess normalement il y a plus simple que de commenter et décommenter au petit bohnheur la chance. Regardez les logs ! Si vous avez un hébergeur décent vous devriez avoir accès aux logs apache.

a écrit :
Comment puis-je prendre connaissance des modules installés sur le serveur ?

On peut souvent trouver la liste des modules apache activés dans le phpinfo (pas toujours, ça dépend comment apache et php sont installés, mais en général elle y est)

Concernant l'hébergeur, je viens de refaire un tour dans la partie Admin et je ne trouve rien à ce sujet.

Sinon, je viens de placer un phpinfo et je ne trouve aucune référence à mod_headers.c

pchlj a écrit :
c'est la condition le hack puisque tu défini de l'utiliser que si IE
c'est comme les moz- ou autres du même genre en css

reconnaitre les hacks dans le code évite de s'arracher les cheveux pour enlever des erruers qui n'en sont pas

Pour info : en fait, cette erreur ne venait pas du hack (if ou balise meta) mais d'un paramètre du htaccess que j'ai désactivé. Maintenant c'est niquel

a écrit :
Sinon, je viens de placer un phpinfo et je ne trouve aucune référence à mod_headers.c

Le suffixe .c c'est seulement pour la directive IfModule. Dans le phpinfo, la liste n'a pas ce suffixe, p.ex. juste mod_rewrite

Si tu as un accès SSH, on doit aussi pouvoir avoir la liste des modules activés avec une commande dans le genre de a2enmod. Pour en activer un c'est a2enmod <nom_module>.