Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 13/02/2021, à 19:16

Zakhar

Le forum délivre du contenu NON sécurisé ("contenu mixte").

Bonjour, j'ai remarqué que quand on met des émoticônes dans un message, celle-ci sont délivrées en "contenu mixte", c'est à dire que les PNG correspondant sont servis sur http://forum.ubuntu-fr.org au sein d'une page servie sur https://forum.ubuntu-fr.org

Les navigateurs et add-ons de sécurité considère que c'est "dangereux" et laissent tomber le contenu non sécurisé sur une page sécurisée, avec pour résultat un non affichage des émoticônes.

Vous serait-il possible de servir correctement les PNG sur une connexion sécurisée, donc le même domaine que la page et également en https, et non pas en http en clair !

Exemple ici : smile

Code HTML de la ligne ci-dessus:

<p>Exemple ici : <img src="http://forum.ubuntu-fr.org/img/smilies/smile.png" alt="smile" style="..." width="15" height="15"></p>

Comme vous le voyez, l'url de l'image est en http non chiffré. La page est sur le même domaine mais en https.

Dernière modification par Zakhar (Le 15/02/2021, à 18:49)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#2 Le 14/02/2021, à 15:28

jvcharles

Re : Le forum délivre du contenu NON sécurisé ("contenu mixte").

tu parles de ça ?
1613313831.png               1613313859.png


Debian Stable Sid/rc-buggy - Gnome/Kde  Tails LiveUsbPersistance  UBports/Ubuntu-Touch 2022/08/19 (Pixel 3a)
Windows 10/Facebook supprimer 2019/02/02   Compte Google supprimé 2023/02/15

Hors ligne

#3 Le 15/02/2021, à 11:26

Zakhar

Re : Le forum délivre du contenu NON sécurisé ("contenu mixte").

Exactement, comme le montre l'extrait de HTML ci-dessus, les images sont délivrées en http (donc non chiffrées) sur une page chiffrée = "contenu mixte".

Avec mes réglages personnels, je n'ai même pas l'avertissement jvcharles, ça affiche juste le texte alternatif de l'image.


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#4 Le 15/02/2021, à 16:19

jvcharles

Re : Le forum délivre du contenu NON sécurisé ("contenu mixte").

donc un problème de sécurité du forum Ubuntu-fr !

quel navigateur internet as-tu et quel version ?

je trouve que ton titre n'est pas explicite...

Dernière modification par jvcharles (Le 15/02/2021, à 16:21)


Debian Stable Sid/rc-buggy - Gnome/Kde  Tails LiveUsbPersistance  UBports/Ubuntu-Touch 2022/08/19 (Pixel 3a)
Windows 10/Facebook supprimer 2019/02/02   Compte Google supprimé 2023/02/15

Hors ligne

#5 Le 15/02/2021, à 18:49

Zakhar

Re : Le forum délivre du contenu NON sécurisé ("contenu mixte").

Firefox à jour (85.0.1)

Je change le titre, dis moi si tu peux proposer mieux ?

"Contenu mixte" est bien le vocable utilisé pour désigner cela : mélange http/https. Mais j'ai précisé "NON sécurisé" pour la bonne mesure.

Dernière modification par Zakhar (Le 15/02/2021, à 18:50)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#6 Le 15/02/2021, à 20:07

jvcharles

Re : Le forum délivre du contenu NON sécurisé ("contenu mixte").

Sa semble ok, mais je ne comprend pas pourquoi les modérateurs ne prend pas ce sujet au sérieux ?

Dernière modification par jvcharles (Le 15/02/2021, à 20:08)


Debian Stable Sid/rc-buggy - Gnome/Kde  Tails LiveUsbPersistance  UBports/Ubuntu-Touch 2022/08/19 (Pixel 3a)
Windows 10/Facebook supprimer 2019/02/02   Compte Google supprimé 2023/02/15

Hors ligne

#7 Le 15/02/2021, à 21:59

Zakhar

Re : Le forum délivre du contenu NON sécurisé ("contenu mixte").

jvcharles a écrit :

Sa semble ok, mais je ne comprend pas pourquoi les modérateurs ne prend pas ce sujet au sérieux ?

La sécurité, peu leur en chaut (pour être poli, car il y a plein de formules plus "vertes" pour dire la même chose !)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#8 Le 15/02/2021, à 22:08

krodelabestiole

Re : Le forum délivre du contenu NON sécurisé ("contenu mixte").

les avatars semblent effectivement servis en http, et pas en https.

les navigateurs affichent une alerte mais ce n'est pas un problème de sécurité.

allez, dans un aéroport un tiers pourra lui aussi récupérer l'avatar en sniffant le traffic. en aucun il ne pourra récupérer le mot de passe, le contenu des échanges ou la moindre donnée sensible.

Zakhar a écrit :

Avec mes réglages personnels, je n'ai même pas l'avertissement jvcharles, ça affiche juste le texte alternatif de l'image.

c'est quoi tes réglages personnels ?
a priori tu as interdit http, ce qui est pas forcément une bonne idée, tu ferais sans doute mieux de forcer l'utilisation de https avec https everywhere par ex.
parce que comme tu vois (ou pas), l'avatar de jvcharles est dispo en http : http://forum.ubuntu-fr.org/img/avatars/7305.jpg
mais aussi en https : https://forum.ubuntu-fr.org/img/avatars/7305.jpg
(et encore, les navigateurs devraient en principe rediriger sur https, qu'on a forcé)

on peut éventuellement corriger le "problème" avec les avatars, ça ne le résoudra pas pour les images externes inclues par contributeurs en http (depuis pix.toile-libre par ex.)

Dernière modification par krodelabestiole (Le 15/02/2021, à 22:23)

Hors ligne

#9 Le 15/02/2021, à 22:52

Zakhar

Re : Le forum délivre du contenu NON sécurisé ("contenu mixte").

krodelabestiole a écrit :

les avatars semblent effectivement servis en http, et pas en https.

les navigateurs affichent une alerte mais ce n'est pas un problème de sécurité.

C'est votre considération... Firefox classe bien ça dans "sécurité", comme l'ensemble des acteurs du web qui en seraient presque à déprécier http au profit de https.

krodelabestiole a écrit :
Zakhar a écrit :

Avec mes réglages personnels, je n'ai même pas l'avertissement jvcharles, ça affiche juste le texte alternatif de l'image.

c'est quoi tes réglages personnels ?

Https everywhere sans cocher l'option "règles pour le contenu mixte" (mais qui ne change rien... il faudrait sans doute que j'explique à https everywhere que forum.ubuntu-fr.org délivre un tel contenu)
Aussi uMatrix : Interdire du contenu mixte - Trafic HTTPS uniquement

krodelabestiole a écrit :

(et encore, les navigateurs devraient en principe rediriger sur https, qu'on a forcé)

Oui, visiblement https everywhere n'est même plus nécessaire vu qu'une fonction qui semble similaire existe maintenant dans Firefox sur la page de préférences : sécurité !

krodelabestiole a écrit :

on peut éventuellement corriger le "problème" avec les avatars, ça ne le résoudra pas pour les images externes inclues par contributeurs en http (depuis pix.toile-libre par ex.)

Oui, ce serait très urbain de votre part ! Si vous pouvez aussi inclure les émoticones avec, c'est idéal !
Bien évidemment, il ne s'agit pas de "proxifier" les liens que les gens postent.
De toute façon dans mon réglage ils ne s'affichent pas puisque j'ai aussi uMatrix qui interdit par défaut les "mélange de domaines", sauf si je les autorise explicitement.
Les "mélange de domaine" (images, scripts, etc...) sont une source infinie de "tracking" sur internet !
De la sorte Face2bouc, Twitter et autres connaissent tout de votre navigation par les petits boutons "sociaux" placés sur chaque site, et ce même si vous n'êtes pas "client" de ces réseaux sociaux.
Les navigateurs commencent à traiter ce "problème"...

Dernière modification par Zakhar (Le 15/02/2021, à 22:58)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#10 Le 15/02/2021, à 23:19

alex2423

Re : Le forum délivre du contenu NON sécurisé ("contenu mixte").

Zakhar a écrit :

De la sorte Face2bouc, Twitter et autres connaissent tout de votre navigation par les petits boutons "sociaux" placés sur chaque site, et ce même si vous n'êtes pas "client" de ces réseaux sociaux.
Les navigateurs commencent à traiter ce "problème"...

A moins que je me trompe, les api.connect et compagnie, et autre joyeuseté de Google sont connu des principales extension uBlock Origin, Privacy Badger qui bloque justement ces boutons (ou le top pi-hole)

Hors ligne

#11 Le 16/02/2021, à 00:04

krodelabestiole

Re : Le forum délivre du contenu NON sécurisé ("contenu mixte").

perso je pense que ublock origin, https everywhere et éventuellement privacy badger et / ou cookie autodelete sont largement suffisants, et assez peu "intrusifs" (il requièrent peu de paramétrages de whitelisting ou autres interactions, cassent rarement les fonctionnalités des sites, contrairement à noscript que je déconseille par ex.).


Zakhar a écrit :

C'est votre considération... Firefox classe bien ça dans "sécurité"

c'est ma considération si tu veux, mais elle vaut autorité. il n'y a aucune faille de sécurité exploitable à servir les images en http.
les faux positifs, ça existe, et en particulier dans la détection automatisée de problèmes de sécurité.

ici tu as affaire à un humain, développeur web de son état depuis une vingtaine d'année, et je te certifie que ce problème n'est pas une faille de sécurité, quoi qu'en dise firefox.

et désolé, urbanité ou pas, pour l'instant je n'ai pas le temps de corriger ce problème anodin, parce que je bosse entre autre sur ce gros projet : https://forum.ubuntu-fr.org/viewtopic.php?id=2059738 (la démo ne fonctionnera pas avec ta config, les "mélanges de domaines" sont une pratique beaucoup trop courante et nécessaire pour être désactivée)
ça me semble beaucoup plus urgent !

et malheureusement je crois qu'il n'y a personne d'autre qui s'occupe de la maintenance technique du forum en ce moment...

Dernière modification par krodelabestiole (Le 16/02/2021, à 00:05)

Hors ligne

#12 Le 16/02/2021, à 07:55

Zakhar

Re : Le forum délivre du contenu NON sécurisé ("contenu mixte").

krodelabestiole a écrit :

et malheureusement je crois qu'il n'y a personne d'autre qui s'occupe de la maintenance technique du forum en ce moment...

C'est sans doute ça le principal problème hélas !

Pas dramatique, je me passe des emoticônes et avatar en attendant que quelqu'un ait le temps de regarder comment ne plus délivrer de "contenu mixte" (mélange https/http), lequel est signalé par https everywhere, uMatrix et les navigateurs... si ce n'est sur le plan de la sécurité, au moins sur le fait que ce n'est pas une super bonne pratique.

Face à la "pénurie de main d’œuvre volontaire", sans doute que traiter le problème dans le "nouveau design" est suffisant.

krodelabestiole a écrit :

les "mélanges de domaines" sont une pratique beaucoup trop courante et nécessaire pour être désactivée)

Outre les possibilité de traçage facile qu'on offre aux GAFA en faisant ça, si un des domaines hébergeant un script est corrompu et sert des scripts vérolés, c'est tous ceux qui les ont intégrés qui sont pwnés !..
Donc c'est certain que c'est "pratique et commun", mais pas sûr que ça en fasse une excellente pratique pour autant.

Par ailleurs c'est assez facile d'instruire uMatrix une fois pour toute d'une exception qu'on positionne volontairement, donc pas vraiment bloquant si on le souhaite.

Dernière modification par Zakhar (Le 16/02/2021, à 08:10)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne