Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Le forum délivre du contenu NON sécurisé ("contenu mixte").

Zakhar

Bonjour, j'ai remarqué que quand on met des émoticônes dans un message, celle-ci sont délivrées en "contenu mixte", c'est à dire que les PNG correspondant sont servis sur http://forum.ubuntu-fr.org au sein d'une page servie sur https://forum.ubuntu-fr.org

Les navigateurs et add-ons de sécurité considère que c'est "dangereux" et laissent tomber le contenu non sécurisé sur une page sécurisée, avec pour résultat un non affichage des émoticônes.

Vous serait-il possible de servir correctement les PNG sur une connexion sécurisée, donc le même domaine que la page et également en https, et non pas en http en clair !

Exemple ici : 🙂

Code HTML de la ligne ci-dessus:

<p>Exemple ici : <img src="http://forum.ubuntu-fr.org/img/smilies/smile.png" alt="smile" style="..." width="15" height="15"></p>

Comme vous le voyez, l'url de l'image est en http non chiffré. La page est sur le même domaine mais en https.

jvcharles

tu parles de ça ?

Zakhar

Exactement, comme le montre l'extrait de HTML ci-dessus, les images sont délivrées en http (donc non chiffrées) sur une page chiffrée = "contenu mixte".

Avec mes réglages personnels, je n'ai même pas l'avertissement jvcharles, ça affiche juste le texte alternatif de l'image.

jvcharles

donc un problème de sécurité du forum Ubuntu-fr !

quel navigateur internet as-tu et quel version ?

je trouve que ton titre n'est pas explicite...

Zakhar

Firefox à jour (85.0.1)

Je change le titre, dis moi si tu peux proposer mieux ?

"Contenu mixte" est bien le vocable utilisé pour désigner cela : mélange http/https. Mais j'ai précisé "NON sécurisé" pour la bonne mesure.

jvcharles

Sa semble ok, mais je ne comprend pas pourquoi les modérateurs ne prend pas ce sujet au sérieux ?

Zakhar

jvcharles a écritSa semble ok, mais je ne comprend pas pourquoi les modérateurs ne prend pas ce sujet au sérieux ?

La sécurité, peu leur en chaut (pour être poli, car il y a plein de formules plus "vertes" pour dire la même chose !)

krodelabestiole

les avatars semblent effectivement servis en http, et pas en https.

les navigateurs affichent une alerte mais ce n'est pas un problème de sécurité.

allez, dans un aéroport un tiers pourra lui aussi récupérer l'avatar en sniffant le traffic. en aucun il ne pourra récupérer le mot de passe, le contenu des échanges ou la moindre donnée sensible.

Zakhar a écritAvec mes réglages personnels, je n'ai même pas l'avertissement jvcharles, ça affiche juste le texte alternatif de l'image.

c'est quoi tes réglages personnels ?
a priori tu as interdit http, ce qui est pas forcément une bonne idée, tu ferais sans doute mieux de forcer l'utilisation de https avec https everywhere par ex.
parce que comme tu vois (ou pas), l'avatar de jvcharles est dispo en http : http://forum.ubuntu-fr.org/img/avatars/7305.jpg
mais aussi en https : https://forum.ubuntu-fr.org/img/avatars/7305.jpg
(et encore, les navigateurs devraient en principe rediriger sur https, qu'on a forcé)

on peut éventuellement corriger le "problème" avec les avatars, ça ne le résoudra pas pour les images externes inclues par contributeurs en http (depuis pix.toile-libre par ex.)

Zakhar

krodelabestiole a écritles avatars semblent effectivement servis en http, et pas en https.

les navigateurs affichent une alerte mais ce n'est pas un problème de sécurité.

C'est votre considération... Firefox classe bien ça dans "sécurité", comme l'ensemble des acteurs du web qui en seraient presque à déprécier http au profit de https.

krodelabestiole a écrit
Zakhar a écritAvec mes réglages personnels, je n'ai même pas l'avertissement jvcharles, ça affiche juste le texte alternatif de l'image.
c'est quoi tes réglages personnels ?

Https everywhere sans cocher l'option "règles pour le contenu mixte" (mais qui ne change rien... il faudrait sans doute que j'explique à https everywhere que forum.ubuntu-fr.org délivre un tel contenu)
Aussi uMatrix : Interdire du contenu mixte - Trafic HTTPS uniquement

krodelabestiole a écrit (et encore, les navigateurs devraient en principe rediriger sur https, qu'on a forcé)

Oui, visiblement https everywhere n'est même plus nécessaire vu qu'une fonction qui semble similaire existe maintenant dans Firefox sur la page de préférences : sécurité !

krodelabestiole a écriton peut éventuellement corriger le "problème" avec les avatars, ça ne le résoudra pas pour les images externes inclues par contributeurs en http (depuis pix.toile-libre par ex.)

Oui, ce serait très urbain de votre part ! Si vous pouvez aussi inclure les émoticones avec, c'est idéal !
Bien évidemment, il ne s'agit pas de "proxifier" les liens que les gens postent.
De toute façon dans mon réglage ils ne s'affichent pas puisque j'ai aussi uMatrix qui interdit par défaut les "mélange de domaines", sauf si je les autorise explicitement.
Les "mélange de domaine" (images, scripts, etc...) sont une source infinie de "tracking" sur internet !
De la sorte Face2bouc, Twitter et autres connaissent tout de votre navigation par les petits boutons "sociaux" placés sur chaque site, et ce même si vous n'êtes pas "client" de ces réseaux sociaux.
Les navigateurs commencent à traiter ce "problème"...

alex2423

Zakhar a écrit De la sorte Face2bouc, Twitter et autres connaissent tout de votre navigation par les petits boutons "sociaux" placés sur chaque site, et ce même si vous n'êtes pas "client" de ces réseaux sociaux.
Les navigateurs commencent à traiter ce "problème"...

A moins que je me trompe, les api.connect et compagnie, et autre joyeuseté de Google sont connu des principales extension uBlock Origin, Privacy Badger qui bloque justement ces boutons (ou le top pi-hole)

krodelabestiole

perso je pense que ublock origin, https everywhere et éventuellement privacy badger et / ou cookie autodelete sont largement suffisants, et assez peu "intrusifs" (il requièrent peu de paramétrages de whitelisting ou autres interactions, cassent rarement les fonctionnalités des sites, contrairement à noscript que je déconseille par ex.).

Zakhar a écritC'est votre considération... Firefox classe bien ça dans "sécurité"

c'est ma considération si tu veux, mais elle vaut autorité. il n'y a aucune faille de sécurité exploitable à servir les images en http.
les faux positifs, ça existe, et en particulier dans la détection automatisée de problèmes de sécurité.

ici tu as affaire à un humain, développeur web de son état depuis une vingtaine d'année, et je te certifie que ce problème n'est pas une faille de sécurité, quoi qu'en dise firefox.

et désolé, urbanité ou pas, pour l'instant je n'ai pas le temps de corriger ce problème anodin, parce que je bosse entre autre sur ce gros projet : https://forum.ubuntu-fr.org/viewtopic.php?id=2059738 (la démo ne fonctionnera pas avec ta config, les "mélanges de domaines" sont une pratique beaucoup trop courante et nécessaire pour être désactivée)
ça me semble beaucoup plus urgent !

et malheureusement je crois qu'il n'y a personne d'autre qui s'occupe de la maintenance technique du forum en ce moment...

Zakhar

krodelabestiole a écritet malheureusement je crois qu'il n'y a personne d'autre qui s'occupe de la maintenance technique du forum en ce moment...

C'est sans doute ça le principal problème hélas !

Pas dramatique, je me passe des emoticônes et avatar en attendant que quelqu'un ait le temps de regarder comment ne plus délivrer de "contenu mixte" (mélange https/http), lequel est signalé par https everywhere, uMatrix et les navigateurs... si ce n'est sur le plan de la sécurité, au moins sur le fait que ce n'est pas une super bonne pratique.

Face à la "pénurie de main d’œuvre volontaire", sans doute que traiter le problème dans le "nouveau design" est suffisant.

krodelabestiole a écrit les "mélanges de domaines" sont une pratique beaucoup trop courante et nécessaire pour être désactivée)

Outre les possibilité de traçage facile qu'on offre aux GAFA en faisant ça, si un des domaines hébergeant un script est corrompu et sert des scripts vérolés, c'est tous ceux qui les ont intégrés qui sont pwnés !..
Donc c'est certain que c'est "pratique et commun", mais pas sûr que ça en fasse une excellente pratique pour autant.

Par ailleurs c'est assez facile d'instruire uMatrix une fois pour toute d'une exception qu'on positionne volontairement, donc pas vraiment bloquant si on le souhaite.