Passage à PhpBB 3.1.10
Publié : 11 déc. 2016, 16:46
Pour info, nous somme passés à la version 3.1.10.
Pascal
Pascal
Forums d'assistance et de discussion sur les logiciels produits par Mozilla ou créés à partir des technologies Mozilla. Ce site ne dépend pas de la fondation Mozilla et est maintenu par un collectif de bénévoles.
https://forums.mozfr.org/
J'ai renforcé la sécurité des entêtes http envoyés pour la sécurité sur la plupart des sites mozfr, on est passés de F à B+ pour les forums (https://observatory.mozilla.org/analyze ... .mozfr.org). Pour les avatars, je pense que c'est dû à l'interdiction du contenu mixte (pas de sources en http sur nos pages en https), pour les UA je regarderai dans la journée si je peux régler ça.Abraxas a écrit :Par contre, je crois que l'on a perdu les avatars et l'affichage du User Agent dans les message.
L'UA est rétabli, par contre pour les avatars, il faut les mettre sur un site en https ou alors les envoyer sur mozfr directement ou utiliser le service gravatar (je viens d'activer gravatar et les avatars locaux sur le forum).Abraxas a écrit :Par contre, je crois que l'on a perdu les avatars et l'affichage du User Agent dans les message.
J'ai relaxé la CSP pour les images, pour référence, j'ai mis en place ça:Abraxas a écrit :On peut pas relaxer la CSP du mixed content pour la balise IMG uniquement ?
Parce que le HTTPS forcé bloque de gros hébergeurs d'images courants comme Imgur.
Code : Tout sélectionner
<IfModule mod_headers.c>
Header set Content-Security-Policy: "default-src 'self'; script-src 'self'; connect-src 'self'; img-src *; style-src 'self' 'unsafe-inline'; object-src 'none'"
Header set Strict-Transport-Security: max-age=31536000
Header set X-Content-Type-Options: nosniff
Header set X-XSS-Protection: "1; mode=block"
Header set X-Frame-Options: DENY
</IfModule>