OVH Community, votre nouvel espace communautaire.

Les cookies ne sont pas sécurisés


chris0483
06/09/2016, 11h42
Merci pour vos réponses et à Vincent.

Je vais blacklisté le set-cookies chez Dareboost afin de ne plus être pénalisé.

vcasse
06/09/2016, 10h10
Bonjour à tous,

En fait, dareboost regarde si le cookie posséde un flag nommé 'Secure'. Ce flag est interprété par les navigateur et exploité que lorsque la requête qui l'utilise est en HTTPS. Ca permet de contrer les tentatives de man-in-the-middle.
Plus d'infos dans la bible Wikipédia : https://en.wikipedia.org/wiki/HTTP_c...e_and_HttpOnly

Ici, ca n'a pas d'impact, bien que Dareboost le remonte. En réalité, le cookie est déclaré et utilisé par nos load balancers pour savoir sur quel serveur web rediriger la requête.

Ce cookie a une importance crucial pour l'authentification des sessions des utilisateurs des sites webs. En gros, des sessions PHP. Car dans ce cas, le flag secure impose que la connexion de l'utilisateur se fasse par une connexion HTTPS, c'est à dire impossible à réaliser (sauf si vous avez la main sur une autorité de certification SSL, bref, si vous n'êtes pas un gouvernement). Si le flag Secure du cookie n'est pas utilisé et que le serveur autorise HTTP, alors le man in the middle est possible.

PS : au pire, si un attaquant change ce cookie, ca changera juste le serveur web utilisé, ce qui ne provoquera pas de soucis sur votre site.

PS2: On a envisagé de mettre ce flag, mais cela imposserait que l'ensemble des sites hébergés chez OVH soient totalement compatible en HTTPS et nous n'avons bien entendu pas la main là dessus

Bien cordialement,
Vincent

janus57
05/09/2016, 19h33
Bonjour,

sachant que ces cookies sont généré par les équipement de loadbalancing de OVH je ne pense pas que vous puissiez agir pour qu'il soit "sécurisé", d'ailleurs vu qu'il ne contienne que des infos technique est-ce que le "surcout" lié à l'utilisation de TLS serait rentable côté OVH (car théoriquement les loadbalanceur aurait plus de charge CPU à cause de TLS) ?
En tout cas dans l'absolu cela ne peut être changé que par OVH (je ne pense pas qu'une directive apache va modifier le comportement du loadbalancing ou alors y a un problème).
C'est pas plus "simple" d'expliquer au client le pourquoi du comment de ce cookie ?

Cordialement, janus57

Abazada
05/09/2016, 19h33
Piégé par les logs.
L'autre site semble en effet ok et en https uniquement.

Je ne vois rien dans les headers qui devrait poser un problème "non sécurisé" ??

Code:
HTTP/1.1 200 OK
Set-Cookie: 240planBAK=R2339306504; path=/; expires=Mon, 05-Sep-2016 18:41:31 GMT
Set-Cookie: 240plan=R496453029; path=/; expires=Mon, 05-Sep-2016 18:34:29 GMT
Set-Cookie: HttpOnly;Secure
Date: Mon, 05 Sep 2016 17:23:30 GMT
...

buddy
05/09/2016, 19h25
Ha oui ...
le HSTS n'est quand même pas activé.

ajoute cette ligne au .htaccess pour activer le HSTS (çà force le navigateur à se souvenir que toutes les connexions aux sites doivent être en HTTPS)
Header set Strict-Transport-Security "max-age=15811200" env=HTTPS

Gtmetrix ne parle pas des cookies : https://gtmetrix.com/reports/www.las...e.com/PFa2ScIz
En quoi avec les cookies techniques ou pas peuvent déranger le client ?

c'est sur que si l'on regarde la sécurité au sens strict il y aura toujours des "problèmes" sur un mutualisé : https://observatory.mozilla.org/anal...te-cuisine.com
https://tls.imirhil.fr/https/lasuite-cuisine.com

chris0483
05/09/2016, 19h12
Merci pour vos retours, mais est-ce bien cette url que vs analysez https://www.lasuite-cuisine.com ?

Car nous avons force https sur tout le site via htaccess. Mais je vais regarder ca de plus przs demain matin ou dans la soiree au cas ou.

N'est-ce pas pense mbg-renovation.fr que vs regardez car celui-ci est en cours de crea.

buddy
05/09/2016, 18h37
Oui, le site est en http et HTTPS. ce n'est pas idéal

Je te conseille de forcer le HTTPS et d'activer le HSTS

le code ci-dessous le fait : https://www.how-to.ovh/viewtopic.php?f=16&t=42#p704

Abazada
05/09/2016, 18h33
Bonjour,
Est-ce que le problème ne viendrait pas simplement du fait que ton site est dispo en http ET en https ?
Si tu le forces à n'utiliser que https, tes cookies seront aussi en https, et donc plus de soucis (?)

Par contre je vois que tu as des "http://' en dur dans ton code,
sans doute la raison pour laquelle Firefox affiche un Warning pour ton site en hhtps.

chris0483
05/09/2016, 18h19
Bonjour,

Oui mais le soucis c'est que dareboost nous le ressort et nous fait chuter le score. Mon client veut que je corrige ce probleme. Mais comment faire ? Ca je n'en sais rien malheureusement...

Ludo.H
05/09/2016, 18h14
Bonjour,

C'est un cookie techinque (load balancing), il ne contient aucune donnée sensible.

Cdt,

chris0483
05/09/2016, 18h06
Bonjour,

Je me permets de poster sur ce forum car je rencontre un probleme avec mon site avec certains cookies qui ne sont pas sécurisés.

C'est en utilisant Dareboost que je me suis rendu compte de ce soucis. Voici le message d'alerte :
72 cookies ne sont pas sécurisés

Un cookie transmis au navigateur via le protocole HTTPs doit pouvoir transiter uniquement sur une connexion sécurisée (sauf cas particulier).
Les cookies

Les cookies sont placés par le serveur web sur le navigateur web via l'en-tête HTTP Set-Cookie. Le navigateur retransmet ensuite ces informations lors des prochaines requêtes au serveur via l'en-tête HTTP Cookie. Si votre serveur fournit un cookie sur une connexion sécurisée (HTTPs), c’est probablement que ce cookie contient des informations sensibles : vous devez alors garantir qu’il ne pourra pas être exploité sur une connexion non sécurisée.
L'instruction Secure

En ajoutant l'instruction Secure au niveau de l'en-tête HTTP Set-Cookie, le serveur informe au navigateur qu'il n’est autorisé à retransmettre le cookie que sur des requêtes sécurisées.
Attention : vérifiez que la redirection HTTP vers HTTPS est bien en place sur votre site. Dans le cas contraire, le cookie Secure pourrait ne pas être envoyé lors d'une requête HTTP.

Apache logo L'en-tête HTTP Set-Cookie peut se configurer avec Apache. Assurez vous tout d'abord que le module mod_headers est bien activé. Ensuite, vous pouvez indiquer l'en-tête dans votre configuration (fichier .htaccess par exemple), comme sur l'exemple ci-dessous :


# seulement pour Apache > 2.2.4:
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

# versions antérieures:
Header set Set-Cookie HttpOnly;Secure


Les cookies suivants ne sont pas sécurisés, vous devriez ajouter l'instruction Secure lors du Set-Cookie :

mbg-renovation.fr/sitembg/wp-content/uploads/201[...]/03/magazine-450x340.jpg

Set-Cookie: 240plan=R3498007065; path=/; expires=Mon, 05-Sep-2016 16:41:15 GMT

mbg-renovation.fr/sitembg/wp-content/plugins/rev[...]xtension.parallax.min.js

Set-Cookie: 240plan=R3498007065; path=/; expires=Mon, 05-Sep-2016 16:40:55 GMT

mbg-renovation.fr/sitembg/wp-content/plugins/js_[...]aypoints.min.js?ver=4.12

Set-Cookie: 240plan=R3498007065; path=/; expires=Mon, 05-Sep-2016 16:57:45 GMT

mbg-renovation.fr/sitembg/wp-content/plugins/js_[...]me-webfont.woff2?v=4.5.0

Set-Cookie: 240plan=R3498007065; path=/; expires=Mon, 05-Sep-2016 16:42:55 GMT

mbg-renovation.fr/sitembg/wp-content/plugins/rev[...]h.tools.min.js?ver=5.2.6

Set-Cookie: 240plan=R3498007065; path=/; expires=Mon, 05-Sep-2016 16:40:51 GMT

https://mbg-renovation.fr/sitembg/wp-content/themes/waxom/js/jquery.custom.js

Set-Cookie: 240plan=R3498007065; path=/; expires=Mon, 05-Sep-2016 16:41:15 GMT

https://mbg-renovation.fr/sitembg/wp-content/uploads/2015/03/guy-450x340.jpg

Set-Cookie: 240plan=R3498007065; path=/; expires=Mon, 05-Sep-2016 16:40:59 GMT

mbg-renovation.fr/sitembg/wp-content/themes/waxo[...]ts/cubeportfolio.min.css

Set-Cookie: 240plan=R3498007065; path=/; expires=Mon, 05-Sep-2016 16:40:51 GMT

mbg-renovation.fr/sitembg/wp-content/uploads/201[...]8/logombg-renovation.png

Set-Cookie: 240plan=R3498007065; path=/; expires=Mon, 05-Sep-2016 16:37:04 GMT

https://mbg-renovation.fr/sitembg/wp-includes/js/comment-reply.min.js

Set-Cookie: 240plan=R3498007065; path=/; expires=Mon, 05-Sep-2016 16:44:18 GMT

https://mbg-renovation.fr/sitembg/wp-content/themes/waxom/css/socials.css

Set-Cookie: 240plan=R3498007065; path=/; expires=Mon, 05-Sep-2016 16:40:51 GMT

et 60 autres fichiers

J'ai bien essayé des les activer avec un en-tête de configuration, le support technique OVH me dit qu'il faut activer "session_set_cookie_params" en le paramétrant sur ON, puis me dit que c'est mon certificat qui est mal paramétré...

Du coup je ne sais plus trop quoi faire et je ne trouve malheureusement pas d'aide via un sujet similaire sur le net.

url du site : https://www.lasuite-cuisine.com

Par avance merci, bonne soirée.