Projet

Général

Profil

Actions

Anomalie #3464

fermé

Les pages Sympa déclenchent une signal d'alerte de sécurité dans Firefox

Ajouté par Christian P. Momon il y a environ 6 ans. Mis à jour il y a plus de 3 ans.

Statut:
Fermé
Priorité:
Faible
Assigné à:
Christian P. Momon
Catégorie:
-
Version cible:
Début:
20/11/2018
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
2 Facile

Description

En chargeant dans Firefox la page https://listes.april.org/wws/editfile/liste-infos/homepage/, on obtient une alerte du navigateur comme quoi la page contient des ressources non chiffrées.

Pourquoi ? Peut-on le corriger ?

Mis à jour par Christian P. Momon il y a environ 6 ans

  • Statut changé de Nouveau à En cours de traitement

Mis à jour par Christian P. Momon il y a environ 6 ans

En fait, mon explication est peut-être hâtive. Pourquoi l'alerte ?

Mis à jour par Christian P. Momon il y a environ 6 ans

  • Description mis à jour (diff)

Mis à jour par Christian P. Momon il y a environ 6 ans

Alors, une source l'alerte est : https://www.april.org/files/images/logo/logo-april.png

Reste à comprendre pourquoi…

Mis à jour par Christian P. Momon il y a environ 6 ans

  • Sujet changé de La description de la liste liste-infos@april.org contient des liens April non HTTPS à Les pages Sympa déclenchent une signal d'alerte de sécurité dans Firefox

Mis à jour par Christian P. Momon il y a environ 6 ans

17:12 < cpm_screen> est-ce que vous pourriez vérifier si dans votre Firefox, vous avez un triangle d'alerte à gauche du champ d'URL avec https://www.april.org/files/images/logo/logo-april.png ?
17:12 < QGuLL> ya rien
17:12 < QGuLL> 64.0a1 (2018-10-10) (64-bit)
17:13 < QGuLL> ah si
17:13 < QGuLL> il est apparu après coup
17:34 < PoluX________> cpm_screen: je n'ai aps de triangle
17:51 < cpm_screen> PoluX________: quel navigateur ? Version ?
17:52 < PoluX________> firefox 60.3.0esr
18:13 < madix> cpm_screen: pas de triangle orange non plus
18:17 < madix> pas de triangle (firefox 52.9.0)

Mais pourquoi ?!!

Mis à jour par François Poulain il y a presque 6 ans

Mais pourquoi ?!!

Dans la console :

Chargement du contenu mixte d’affichage « http://www.april.org/files/images/logo/logo-april.png?q=images/logo/logo-april.png » (non sécurisé) sur une page sécurisée[En savoir plus]

Ça concerne visiblement le logo, inclut dans le thème via https://www.april.org/images/logo/logo-april.png

Dans le shell

$ curl -I https://www.april.org/images/logo/logo-april.png
HTTP/1.1 301 Moved Permanently
Server: nginx/1.10.3
Date: Wed, 05 Dec 2018 20:26:54 GMT
Content-Type: text/html; charset=iso-8859-1
Connection: keep-alive
Location: http://www.april.org/files/images/logo/logo-april.png?q=images/logo/logo-april.png
Strict-Transport-Security: max-age=15768000; includeSubDomains

La cause : /etc/drupal/6/htaccess contient des térachiées de redirections permanentes vers du http.

Et vu que c'est du permanent c'est incontrôlable.

Moralité : HSTS ne suffit pas. :)

Next action : faire chauffer sed.

Mis à jour par François Poulain il y a presque 4 ans

Proposition : intégrer proprement le logo dans sympa.

Mis à jour par Quentin Gibeaux il y a plus de 3 ans

  • Statut changé de En cours de traitement à Fermé

c'est résolu

Actions

Formats disponibles : Atom PDF