Secure HTTP Strict Transport Security (HSTS) Implementation

Implémentation sécurisée de HTTP Strict Transport Security (HSTS)

Risk: secure

Description

HTTP Strict Transport Security (HSTS) est une politique de sécurité web qui impose des connexions sécurisées (HTTPS) entre les utilisateurs et le serveur web en communiquant la politique via l'en-tête de réponse HTTP "Strict-Transport-Security". L'application a implémenté une politique HSTS sécurisée pour se protéger contre les attaques de l'homme du milieu (man-in-the-middle), garantissant que toutes les communications sont chiffrées et améliorant la sécurité globale.

Principales caractéristiques de l'implémentation HSTS :

1. HTTPS imposé (Enforced HTTPS) : La politique HSTS convertit automatiquement tout lien HTTP non sécurisé en lien HTTPS sécurisé, garantissant que toutes les interactions sont chiffrées.

2. Prévention des accès non sécurisés : Si une connexion sécurisée ne peut pas être établie (par exemple, en raison d'un certificat TLS non valide), l'agent utilisateur bloquera l'accès, empêchant ainsi les risques potentiels de sécurité.

3. Durée configurable : La politique HSTS spécifie une durée suffisamment longue pour garantir que les utilisateurs continueront d'accéder à l'application en toute sécurité au fil du temps.

4. Prise en charge des sous-domaines : Le cas échéant, la politique HSTS inclut la directive "includeSubDomains", étendant la sécurité à tous les sous-domaines.

5. Liste de préchargement (Preload List) : Les sites web peuvent soumettre leurs domaines à une liste de préchargement intégrée aux navigateurs, garantissant que HSTS est appliqué dès la première visite, protégeant ainsi contre les attaques sur la connexion initiale.

6. Paramètre Max-Age : La directive max-age permet aux sites de spécifier combien de temps les navigateurs doivent appliquer HTTPS, avec des options pour le définir sur de longues périodes, comme des années.

7. Aucun contenu mixte (No Mixed Content) : HSTS garantit que toutes les ressources, y compris les images et les scripts, sont chargées via HTTPS, empêchant le contenu non sécurisé sur les pages sécurisées.

8. Gestion des erreurs : Lorsqu'une erreur HSTS se produit, telle qu'un certificat non valide, les navigateurs bloquent l'accès sans autoriser les utilisateurs à contourner l'avertissement, améliorant ainsi la sécurité.

9. Implémentation par en-tête uniquement : HSTS est implémenté via un simple en-tête HTTP, ce qui le rend facile à configurer sans modifier le contenu du site.

10. Réécritures automatiques en HTTPS : Certains navigateurs réécrivent automatiquement les URL en HTTPS avant de faire une requête, même si l'utilisateur tape HTTP dans la barre d'adresse.

11. Blocage des ports non sécurisables : HSTS empêche les connexions aux ports non sécurisés, tels que le port 80, pour le domaine spécifié.

Cette implémentation sécurisée de HSTS garantit que les utilisateurs peuvent interagir en toute sécurité avec l'application, protégeant les données sensibles contre l'interception et l'utilisation malveillante.

Recommandation

L'implémentation est sécurisée, aucune recommandation n'est applicable.

Liens

• Strict-Transport-Security
• OWASP: HTTP Strict Transport Security