[Résolu] reverse plex et CORS (Access-Control-Allow-Origin header)

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Résolu] reverse plex et CORS (Access-Control-Allow-Origin header)

laster13

Bonsoir à tous

Toujours dans l'esprit d'optimiser le HTTPS, Je me pose la question de savoir exactement ce à quoi servent les CORS et surtout si leur activations permettent ou pas de sécuriser un site web. Pourquoi cette question, tout simplement parce qu'avec plex en reverse, j'obtient une note degradée sur https://observatory.mozilla.org/ soit D

Je précise que mes vhost sont tous construits sur le même schéma et je n'ai ce soucis qu'avec plex

server {
listen 80;
server_name plex.domain.ltd;
return 301 https://$host$request_uri;
}

server {
listen 443 ssl http2;
server_name plex.domain.ltd;

include /etc/nginx/conf.d/*.conf;

ssl_certificate /etc/letsencrypt/live/mail.domain.ltd/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mail.domain.ltd/privkey.pem;

location / {
proxy_pass http://127.0.0.1:32400;
include /etc/nginx/conf/proxy_params;
}
}

oscp stapling.conf

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/private/ocsp-certs.pem;
resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 5s;

proxy

proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Remote-Port $remote_port;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_redirect off;

ssl

ssl_protocols TLSv1.2;
ssl_ecdh_curve secp384r1;
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256;
ssl_prefer_server_ciphers on;

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off;

header

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" always;
add_header X-Frame-Options SAMEORIGIN always;
add_header X-Content-Type-Options nosniff always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "no-referrer" always;
add_header Content-Security-Policy "script-src 'self' 'unsafe-inline' https://domain.ldt https://cdnjs.cloudflare.com https://www.google.com https://www.gstatic.com;style-src 'self' https://fonts.googleapis.com https://cdnjs.cloudflare.com;media-src 'self';form-action 'self';base-uri 'none';object-src 'none';block-all-mixed-content;report-uri https://ldomain.ldt.report-uri.io/r/default/csp/enforce" always;

Voila la note que j'obtiens
alernatetext

A cause des CORS Par contre les headers sont bons ainsi que sslab avec plex

alernatetext

Sur mes autres vhost j'ai B+ sur https://observatory.mozilla.org/ et pas de pénalités sur les CORS.

Clairement je pourrais me connecter directement avec https://www.plex.tv/fr/ sauf que leur note sur sslab est C par contre leur header sont bons , ils ont A, et pas de problèmes de CORS.

Ya t-il moyen de modifier le vhost pour régler le problème?

Voila je souhaiterais votre avis sur le sujet

Merci

BXT

Plop,

Pour moi, tu ne peux rien faire directement et ta configuration TLS est excellente 😉

Juste une petite recommandation, pour ta directive resolver je t'invite à utiliser des resolvers autre 8.8.8.8 et 8.8.4.4

Par exemple, tu peux utiliser DNS.watch : https://dns.watch/

laster13

Merci pour le retour BXT, du coup le fait de ne pouvoir activer les CORS ne représente t-il pas une faille de sécurité ? Dans ces conditions malgré la note moyenne de plex.tv sur SSL lab et cryptcheck est ce que la connection via leur site ne serait pas une meilleure option sur le plan securité ?

BXT

Non clairement pas, d'ailleurs pendant longtemps, nous n'avions pas mis CORS sur MonDedie car cela engendrait beaucoup de problèmes 😉

laster13

Merci pour cette réponse @BXT, oups je vois que tu as rectifié l'erreur que j'ai faite sur ton pseudo, désolé!