Vaaache le nombre de technos web dédiées à la sécurité qui ont fleuri cette décennie… :O
Je découvre :
- HSTS preload list : liste des sites web compatibles HTTPS intégrée aux navigateurs web. Cela permet aux navigateurs de s'y connecter directement en HTTPS, même si l'utilisateur a saisi ou a cliqué sur une URL HTTP. Objectif : réduire le risque de fuite de contenu non-chiffré en évitant les attaques par repli ("non, ce site web n'est pas disponible en HTTPS, reviens en HTTP") que HSTS ne permet pas de combattre lors de la première connexion à un site web (et lorsque les informations HSTS conservées dans le cache du navigateur web ont expiré) ;
- SubResource Integrity (SRI) : intégrer une somme de contrôle des fichiers scripts et CSS dans le lien qui conduit à eux. Le navigateur vérifie l'intégrité du fichier téléchargé à l'aide de cette somme de contrôle avant d'exécuter le script ou d'appliquer le style. Objectif : se prémunir d'un prestataire (CDN) malveillant ou qui se ferait pirater ;
- Referrer Policy : entête HTTP qui permet d'indiquer aux navigateurs web les informations de provenance (referer) qu'il peut communiquer aux sites web vers lesquels tu fais un lien : peut-il dire qu'il vient de ton site web ? Peut-il dire de quelle URL précise il vient ou peut-il seulement communiquer le domaine ? ;
- X-XSS-Protection : entête HTTP qui permet de demander aux navigateurs web de bloquer les attaques XSS banales / simplistes.