Toujours en train d’essayer de virer les unsafe-… des directives de Content-Security-Policy de l’admin de Dotclear, je m’arrache les cheveux avec un problème gênant que je ne m’explique pas et que d’ailleurs d’autres ne s’expliquent pas non plus ! Explications : Pour la médiathèque, on utilise un […]
Mot-clé - sécurité
Bénéfice secondaire
J’ai commencé à tester l’admin de la future 2.15 en enlevant le filtre unsafe-eval pour les scripts, vu que je suis en train de supprimer tout le javascript inline du code, et je suis tombé sur une erreur de typo, signalée par un rapport du système Content-Security-Policy (CSP). En effet, j’avais ce […]
Variables JS inline CSP compliant
Je viens de tester la technique de passage en JSON des variables attendues par un script JS ce matin — j’en parlais dans un de mes derniers billets — et ça fonctionne plutôt pas mal. Donc maintenant on pourrait, au lieu de définir des variables javascript de façon inline dans le <head> (ou […]
Faille de sécurité mineure
Encore une, du style : « Si vous avez le droit de vous connecter à l’admin de Dotclear et si vous avez le droit de déposer des fichiers, et si ce fichier est un fichier potentiellement critique (genre code javascript ou autre) et que si vous l’affichez ensuite côté public alors… ». Alors oui, j’ai […]
Renouvellement de certificats
Creute ! Je suis en train de renouveler mes certificats chez StarSSL et qu’apprends-je ? Ils ne sont plus considérés comme sûr par les navigateurs. Donc mes nouveaux certificats sont Ok, par contre l’intermédiaire ne l’est plus. La barbe, parce que j’ai franchement pas que ça à faire moi ! Déjà que […]