Logo journal du hacker middle
  1. 3
    Header CSP : la quasi-impossibilité de sa mise en oeuvre sur WordPress sécurité web wordpress dsfc.net
    bloginfo avatar écrit par bloginfo il y a 6 ans | en cache | 2 commentaires

L'entête Content Security Policy part d'un très bon sentiment. Concernant sa mise en oeuvre sur WordPress, c'est une autre paire de manches.

  1.  

  2. 1
    DaScritch avatar DaScritch il y a 6 ans | lien
    • Si tu as des <script> inline, tu as un problème d'optimisation,
    • Si tu as des eval() en PHP ou en Javascript, tu as un immense problème de sécurité,
    • Si ton CMS permet d'inclure directement du PHP dans tes fichiers de template, tu as un très très gros souci d'architecture,
    • Si tu ne sais pas comment gérer les droits utilisateurs pour resteindre su, sudo et n'autoriser que root à jouer avec /etc, c'est que tu as un immense problème d'administration système. Après, je ne vois pas la difficulté à travailler avec les CSP, surtout avec les paramètres “tester” et “signaler par le navigateur”.
    1. bloginfo avatar bloginfo il y a 6 ans | lien

      [Comment from banned user removed]

      1. 1
        DaScritch avatar DaScritch édité il y a 6 ans | lien

        À cause de quelques billets qui justement font la démonstration des injections de code. Le blog ayant 15 ans de contenus, certains billets “dynamiques” sont compliqués à faire évaluer.