Projet

Général

Profil

Anomalie #1686

Problèmes SSL TLS sur www.april.org

Ajouté par Anonyme il y a environ 8 ans. Mis à jour il y a environ 6 ans.

Statut:
Fermé
Priorité:
Élevée
Assigné à:
Catégorie:
-
Version cible:
Début:
13/03/2016
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
3 Moyen

Description

Problème 1

Problème 2

Fichiers

2017-02-06-220528_1920x1080_scrot.png (348 ko) 2017-02-06-220528_1920x1080_scrot.png capture d'écran Edouard Dausque, 06/02/2017 22:06

Demandes liées

Lié à Admins - Demande #1752: Implémenter HTTP Strict Transport Security sur april.orgFermé16/06/2016

Actions

Historique

#1

Mis à jour par François Poulain il y a plus de 7 ans

  • Description mis à jour (diff)

Concernant les mixeds content c'est essentiellement un soucis de média inclus.

Par exemple la page https://april.org/lapril-lance-un-groupe-de-pom-pom-gnous-pour-encourager-le-secteur-public-utiliser-les-logiciels-lib contient le média http://www.april.org/files/poisson.png via le code <img src="http://www.april.org/files/poisson.png" alt="Poisson d'Avril" class="fg" />.

Pour éviter ça il faut :
- pour les medias externes, faire des URLs "sans plan" : au lieu de mettre http://bling.org/mon_poisson.png, mettre //bling.org/mon_poisson.png ;
- pour les médias internes, privilégier les urls locales : au lieu de mettre http://april.org/mon_poisson.png, mettre /mon_poisson.png.

On pourrait faire un ménage en base et inciter les rédacteurs du site mais c'est pas ultra gagné...

Pages with unsecure content:
https://april.org/communiques ?
http://www.april.org/files/poisson.png
http://www.libre-en-fete.net/images/banniere.png

https://april.org/revue-de-presse ?
http://www.april.org/files/logoDivergence.png
http://www.april.org/files/logoRadioEscapadeSmall.png
http://www.april.org/files/logoRadioLarzac.png
http://www.april.org/files/logoRadioFilDeLEau.png

https://april.org/nous-contacter ?
http://www.april.org/sites/default/files/20140626-local-april-easter-eggs.jpg
http://cartosm.eu/map?lon=2.319217&lat=48.836798&zoom=16&width=800&height=350&mark=true&nav=true&pan=true&zb=inout&style=default&icon=down

https://april.org/presse ?
http://adherents.april.org/dtcphotos/lallorge.png
http://adherents.april.org/dtcphotos/fcouchet.png
http://adherents.april.org/dtcphotos/jtadeusz.png
http://adherents.april.org/dtcphotos/gsedrati-dinet.png
http://adherents.april.org/dtcphotos/ldachary.png

https://april.org/sensibilisation ?
http://media.april.org/docs/affiche_anti_ACTA/acta_drm_A5.recto.png
http://media.april.org/docs/formats_ouverts/formats_ouverts_V_mini.jpeg
http://media.april.org/docs/affiche_vente_liee/vente_liee_A3_mini.jpg
http://media.april.org/docs/affiche_essayez_la_liberte/essayez_la_liberte_mini.jpg
http://media.april.org/docs/affiche_faites_passer/faites_passer_A3coul_600.jpg
http://media.april.org/docs/affiche_copyleft/licences_libres_affiche.300.png
http://www.expolibre.org/images/expolibre-001.png
http://media.april.org/docs/affiche_copyleft/licences_libres_liflet_x3.thumb.png
http://media.april.org/docs/syntheses/synthese_vente_liee_April.png
http://media.april.org/docs/drm/Les_DRM_tuent_la_musique.small.png
http://media.april.org/docs/drm/AAD_semicircle.fr.png

https://april.org/articles/bibliographie.html ?
http://www.april.org/files/La%20bataille%20du%20logiciel%20libre.jpg
http://lepassagerclandestin.fr/typo3temp/pics/18202e843d.jpg
http://www.april.org/files/RMS-Biographie.png
http://www.april.org/files/piraterie.png
http://www.april.org/files/dictionnaire-politique-internet-et-numerique.png
http://www.april.org/files/freeculture_jpg_48e4916de0.jpg
http://www.april.org/files/voleur.jpg

https://april.org/documents-de-communication ?
http://www.april.org/images/logo/logo-april.png
http://www.april.org/files/association/documents/bannieres/banniere_horizontale_soutien_fulltext_486x60.png
http://media.april.org/docs/flyer_agissez/flyer-agissez_2016-03-21-1.png
http://www.april.org/files/flyer-feuillederoute.png
http://www.april.org/files/depliant_3volets_v3-page1.png
http://www.april.org/files/stickers.png
http://www.april.org/files/panneau-membre-de-april1_1.png
http://www.april.org/files/panneau_april_fleche_droite1.png
http://www.april.org/files/panneau_april_fleche_gauche1.png
http://www.april.org/files/panneau-dangers-brevet2.png
http://www.april.org/files/panneau-dangers-deloyale2.png
http://www.april.org/files/panneau-dangers-drm2.png
http://www.april.org/files/panneau-dangers-vente-liee2.png
http://www.april.org/files/Carte_adherents_2009_vignette.png
http://www.april.org/files/feuille_de_route01.png
http://www.april.org/files/flyer-windows-7-peches-fond-jaune.png
http://www.april.org/files/template-april-v1-tangui.png
http://wiki.april.org/images/thumb/3/34/Teeshirt4noir.png/640px-Teeshirt4noir.png
http://www.april.org/files/april_badge_12ans-petit.png

https://april.org/theses ?
http://www.april.org/files/brevetslogiciels.png

https://april.org/site ?
http://media.april.org/docs/siteweb/fondation_Free_logo.jpg

https://april.org/trombinoscope.php ?
http://planete.april.org/images/rss20.png

https://april.org/une-stagiaire-affaires-publiques-dans-lequipe-de-lapril ?
http://www.april.org/sites/default/files/clescourret.jpg

https://april.org/merci-quentin-pour-le-stage-admin-sys ?
http://www.april.org/sites/default/files/qgibeaux-gnou.jpg

https://april.org/association/contacter.html ?
http://www.april.org/sites/default/files/20140626-local-april-easter-eggs.jpg
http://cartosm.eu/map?lon=2.319217&lat=48.836798&zoom=16&width=800&height=350&mark=true&nav=true&pan=true&zb=inout&style=default&icon=down

https://april.org/association/tshirt/ ?
http://media.april.org/docs/tshirt/T-shirt_3couleurs.jpg
http://media.april.org/docs/tshirt/T-shirt_1couleur.jpg
http://photos.april.org/d/5933-1/15_ans_April_Paris_028.jpg
http://www.april.org/files/t-shirt-brevets-15-ans/t-shirt-15-ans-simulation.png

https://april.org/poissons-davril ?
http://www.april.org/files/poisson.png

https://april.org/association/presse.html ?
http://adherents.april.org/dtcphotos/lallorge.png
http://adherents.april.org/dtcphotos/fcouchet.png
http://adherents.april.org/dtcphotos/jtadeusz.png
http://adherents.april.org/dtcphotos/gsedrati-dinet.png
http://adherents.april.org/dtcphotos/ldachary.png

https://april.org/associations-clusters-groupement-professionnels-du-logiciel-libre ?
http://www.april.org/dtcphotos/libre-entreprise.png
http://www.april.org/files/logo-fnill.png
http://www.april.org/files/logo-cnll.png
http://www.april.org/dtcphotos/alliancelibre.png
http://www.april.org/files/caplibre.png
http://www.april.org/dtcphotos/libertis.png
http://www.april.org/files/ploss.png
http://www.april.org/files/ploassra.png
http://www.april.org/files/polenord.png
http://www.april.org/files/prolibre.png
http://www.april.org/files/telecomvalley.jpg
http://www.logiciels-libres-alsace.com/templates/yt_zeitgeist/images/logo.png

https://april.org/groupes/vente-liee ?
http://media.april.org/docs/autocollants/sticker_vente-forcee.png
http://media.april.org/docs/syntheses/synthese_vente_liee_April.png

https://april.org/association/trombinoscope/ ?
http://planete.april.org/images/rss20.png
#2

Mis à jour par François Poulain il y a environ 7 ans

  • Statut changé de Nouveau à Fermé

Perso je pense que l'outil (drupal) est actuellement inadapté à faire du https strict. Le problème ne vient pas de l'adminsys.

Si quelqu'un veut travailler sur l'outil, qu'il n'hésite pas à rouvrir.

#3

Mis à jour par Edouard Dausque il y a environ 7 ans

le problème devient critique, à mon avis. Aujourd'hui quand je navigue avec Firefox sur www.april.org, j'ai un "cadenas" barré.

#4

Mis à jour par Edouard Dausque il y a environ 7 ans

pour les liens que tu montres au dessus, j'en compte 5 qui sont externes au domaine *.april.org dont libre-en-fete.net et expolibre.org qui sont gérés par l'april.

Reste 3 liens externes :
http://www.logiciels-libres-alsace.com/templates/yt_zeitgeist/images/logo.png est en http 403
http://lepassagerclandestin.fr/typo3temp/pics/18202e843d.jpg fonctionne en https mais on pourrait en profiter pour l'héberger sur april.org
http://cartosm.eu qui n'est pas disponible en https. À voir ce que l'on peut trouver comme alternative, restant possible de remplacer par une image fixe et cliquable.

#5

Mis à jour par François Poulain il y a environ 7 ans

Pour cartosm.eu, c'est développé et hosté par Rodo. Je pense qu'il est imaginable de l'avoir en https. Cf ce propos de mai 2015.

PoluX[0]: est-ce que tu penses que un jour cartosm.eu pourrait être en https, ou bien est-ce techniquement difficile ?
PoluX[0]: ça s'intègre mal dans les sites https en l'état :)
PoluX[0]: mbon, on peut en reparler quand tu veux/peux
rodo: PoluX[0]: non aucune difficulté technique, il faut juste que j'achète un certif SSL :)
PoluX[0]: ok je pourrai te tanner alors :)

Depuis il y a Let's Encrypt ...

Pour le reste, il faudrait amha a minima que le CMS intègre systématiquement des URL sans plan, et effectivement un fetcher d'image ne serait pas du luxe. Mais comme je dis, notre instance Drupal ne fait pas ça, et perso je ne compte pas la corriger. :)

#6

Mis à jour par François Poulain il y a environ 7 ans

  • Statut changé de Fermé à Confirmé

Je ré-ouvre le ticket : denis propose une configuration nginx de réécriture du contenu qui résoud une partie du problème (si les ressources incluses sont accessibles en https).

#7

Mis à jour par Frédéric Couchet il y a environ 6 ans

  • Version cible mis à Backlog
#8

Mis à jour par Benjamin Drieu il y a environ 6 ans

  • Assigné à mis à Benjamin Drieu
  • Priorité changé de Normale à Élevée
  • Version cible changé de Backlog à Février 2018
#9

Mis à jour par Benjamin Drieu il y a environ 6 ans

  • Lié à Demande #1752: Implémenter HTTP Strict Transport Security sur april.org ajouté
#10

Mis à jour par Benjamin Drieu il y a environ 6 ans

  • Statut changé de Confirmé à Résolu

HSTS résout en partie le problème en ne téléchargeant que des documents HTTPS. En revanche, il convient quand même de ne présenter que des médias en HTTPS car sur certains firefox, le cadenas reste ouvert. C'est une problématique de webmastering.

#11

Mis à jour par Quentin Gibeaux il y a environ 6 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF