Nosniff dans les en-têtes des sites, une demande de Google pour notre bien

Ecrit par:
18-07-2018

Dernière « demande » en date de Google : l’ajout dans le header des sites internet d’une balise « Nosniff ». Mais est-ce bien une nouveauté et quels sont la signification et le but de l’ajout en question ?

Relayée par Search Engine Journal, la nouvelle fait, en effet, état d’une mise à jour de sécurité sur le navigateur Google Chrome, accompagnée d’une demande auprès des développeurs, afin que ceux-ci modifient les en-têtes de réponses des sites internet.

Depuis longtemps Google a porté l’adoption du protocole HTTPS sur les sites internet, en faisant même un critère de positionnement dans les résultats de recherches.

Désormais, nous savons que d’ici peu, Google Chrome affichera un message d’alerte lors des accès aux sites ne disposant pas du protocole HTTPS. La demande porte cette fois sur la valeur Content-Type-Options : nosniff.

Ces éléments ont pour but de protéger les sites de certains types de piratages, tels les attaques du type « cross-site scripting ».

Pour rappel, les en-têtes des pages comportent plusieurs informations relatives à la sécurité des transactions et requêtes, par exemple :

  • Strict-Transport-Security : permet de forcer une connexion sécurisée HTTPS avec les navigateurs
  • Referrer Policy : spécifie l’information envoyée en qualité de « referrer»
  • X-Frame-Options : contrôle l’affichage de la page dans une « iframe »
  • Content-Security-Policy : permet de contrôler les ressources chargées lors de l’affichage d’une page

La liste n’est de loin pas exhaustive, vous avez d’ailleurs la possibilité d’effectuer un test de la sécurisation de vos pages sur plusieurs outils en ligne, comme celui de Mozilla.

Google chrome et les en-têtes : pourquoi cette demande ?

Si sur le principe cela concerne bien la sécurisation des sites face à plusieurs méthodes de piratage (par l’intermédiaire des navigateurs web), il est bien possible que d’autres raisons soient à l’origine de cette nouvelle préconisation.

On a récemment vu que les prochaines versions du navigateur Chrome modifieront leur fonctionnement pour faire face aux failles Spectre et Meltdown.

Il y a fort à parier que tous les navigateurs web dérivés du moteur de Google Chrome (Opera par exemple) seront également à terme concernés par ce type de fonctionnement, et donc, sensibles à ces ajouts au header des sites internet.

Il est donc possible que cet ajout aux headers des pages web permette de faciliter quelque peu le travail des navigateurs concernés. Ceux-ci fonctionnant à terme en dissociant et en isolant les processus d’affichage des pages web.

Notre conseil : au vu de la petite intégration nécessaire, il est à la fois intéressant et important d’intégrer celle-ci sur vos pages. Ne serait-ce qu’afin de sécuriser un peu plus les transactions et visites de vos clients.

Ecrit par :
Mickael HAMARD
Mickael HAMARD
Consultant SEO