au détour d'un post mastodon, j'ai découvert de nouveaux headers 'à la mode'.
Le point de départ est la nouvelle technique marketing google, la cohorte. On ne vous dépose plus de cookies,(enfin, plus seulement) de traceurs, mais on vous score dans une "cohorte" qui a le même comportement, comme un troupeau. De ce que j'ai cru comprendre cela ne concerne que les utilisateurs chrome. Mais qui peut utiliser chrome ? mystère.
Donc il y a un nouveau header que l'on peut ajouter à sa config, (apache pour moi) pour dire au navigateur pas de cohorte pour ce site:
Header always set Permissions-Policy: interest-cohort=()
Vous pouvez le mettre dans votre httpd.conf (du coup valide pour toute les hôtes virtuels.
Comme j'étais parti dans le délire, j'ai 'hardener' (un truc à la mode) mon serveur, avec tout pleins de directives qui sont bonnes :
- Pour éviter de se faire iframer (utiliser nos données dans une iframe) :
Header always set X-Frame-Options "SAMEORIGIN"
- Pour ne pas envoyer de referer (ne pas dire d'où on vient) lorsque l'on suit un lien pointant vers un autre site. Ici je le garde pour les liens intra-site. :
Header set Referrer-Policy "same-origin"
- Pour empêcher les navigateurs de charger des assets d'un autre site (par exemple une feuille de style personnalisé :
Header always set X-Xss-Protection "1"
- Pour empêcher les navigateurs de charger des assets d'un autre site, les 2 valeurs self (pour votre site) et unsafe-inline (si vous utiliser des feuilles de style ou des scripts inlinés dans les pages) :
Header always set Content-Security-Policy "default-src 'self' 'unsafe-inline';
- Pour empêcher les navigateurs de sniffer sans se fier aux headers déclarés (cela permet d'éviter qu'un utilisateurs upload un fichier qui serait mal interprété) :
Header always set X-Content-Type-Options "nosniff"