Anomalie #1686
ferméProblèmes SSL TLS sur www.april.org
0%
Description
Problème 1
- par défaut, le site est en HTTP bien qu'il y ait du login. Attention, les navigateurs vont commencer à râler : https://blog.mozilla.org/tanvi/2016/01/28/no-more-passwords-over-http-please/
- mixed content. Voir https://www.jitbit.com/sslcheck/#url=https://www.april.org Idem, les bons navigateurs vont râler.
Fichiers
Mis à jour par François Poulain il y a environ 8 ans
- Description mis à jour (diff)
Concernant les mixeds content c'est essentiellement un soucis de média inclus.
Par exemple la page https://april.org/lapril-lance-un-groupe-de-pom-pom-gnous-pour-encourager-le-secteur-public-utiliser-les-logiciels-lib contient le média http://www.april.org/files/poisson.png via le code <img src="http://www.april.org/files/poisson.png" alt="Poisson d'Avril" class="fg" />.
Pour éviter ça il faut :
- pour les medias externes, faire des URLs "sans plan" : au lieu de mettre http://bling.org/mon_poisson.png, mettre //bling.org/mon_poisson.png ;
- pour les médias internes, privilégier les urls locales : au lieu de mettre http://april.org/mon_poisson.png, mettre /mon_poisson.png.
On pourrait faire un ménage en base et inciter les rédacteurs du site mais c'est pas ultra gagné...
Pages with unsecure content: https://april.org/communiques ? http://www.april.org/files/poisson.png http://www.libre-en-fete.net/images/banniere.png https://april.org/revue-de-presse ? http://www.april.org/files/logoDivergence.png http://www.april.org/files/logoRadioEscapadeSmall.png http://www.april.org/files/logoRadioLarzac.png http://www.april.org/files/logoRadioFilDeLEau.png https://april.org/nous-contacter ? http://www.april.org/sites/default/files/20140626-local-april-easter-eggs.jpg http://cartosm.eu/map?lon=2.319217&lat=48.836798&zoom=16&width=800&height=350&mark=true&nav=true&pan=true&zb=inout&style=default&icon=down https://april.org/presse ? http://adherents.april.org/dtcphotos/lallorge.png http://adherents.april.org/dtcphotos/fcouchet.png http://adherents.april.org/dtcphotos/jtadeusz.png http://adherents.april.org/dtcphotos/gsedrati-dinet.png http://adherents.april.org/dtcphotos/ldachary.png https://april.org/sensibilisation ? http://media.april.org/docs/affiche_anti_ACTA/acta_drm_A5.recto.png http://media.april.org/docs/formats_ouverts/formats_ouverts_V_mini.jpeg http://media.april.org/docs/affiche_vente_liee/vente_liee_A3_mini.jpg http://media.april.org/docs/affiche_essayez_la_liberte/essayez_la_liberte_mini.jpg http://media.april.org/docs/affiche_faites_passer/faites_passer_A3coul_600.jpg http://media.april.org/docs/affiche_copyleft/licences_libres_affiche.300.png http://www.expolibre.org/images/expolibre-001.png http://media.april.org/docs/affiche_copyleft/licences_libres_liflet_x3.thumb.png http://media.april.org/docs/syntheses/synthese_vente_liee_April.png http://media.april.org/docs/drm/Les_DRM_tuent_la_musique.small.png http://media.april.org/docs/drm/AAD_semicircle.fr.png https://april.org/articles/bibliographie.html ? http://www.april.org/files/La%20bataille%20du%20logiciel%20libre.jpg http://lepassagerclandestin.fr/typo3temp/pics/18202e843d.jpg http://www.april.org/files/RMS-Biographie.png http://www.april.org/files/piraterie.png http://www.april.org/files/dictionnaire-politique-internet-et-numerique.png http://www.april.org/files/freeculture_jpg_48e4916de0.jpg http://www.april.org/files/voleur.jpg https://april.org/documents-de-communication ? http://www.april.org/images/logo/logo-april.png http://www.april.org/files/association/documents/bannieres/banniere_horizontale_soutien_fulltext_486x60.png http://media.april.org/docs/flyer_agissez/flyer-agissez_2016-03-21-1.png http://www.april.org/files/flyer-feuillederoute.png http://www.april.org/files/depliant_3volets_v3-page1.png http://www.april.org/files/stickers.png http://www.april.org/files/panneau-membre-de-april1_1.png http://www.april.org/files/panneau_april_fleche_droite1.png http://www.april.org/files/panneau_april_fleche_gauche1.png http://www.april.org/files/panneau-dangers-brevet2.png http://www.april.org/files/panneau-dangers-deloyale2.png http://www.april.org/files/panneau-dangers-drm2.png http://www.april.org/files/panneau-dangers-vente-liee2.png http://www.april.org/files/Carte_adherents_2009_vignette.png http://www.april.org/files/feuille_de_route01.png http://www.april.org/files/flyer-windows-7-peches-fond-jaune.png http://www.april.org/files/template-april-v1-tangui.png http://wiki.april.org/images/thumb/3/34/Teeshirt4noir.png/640px-Teeshirt4noir.png http://www.april.org/files/april_badge_12ans-petit.png https://april.org/theses ? http://www.april.org/files/brevetslogiciels.png https://april.org/site ? http://media.april.org/docs/siteweb/fondation_Free_logo.jpg https://april.org/trombinoscope.php ? http://planete.april.org/images/rss20.png https://april.org/une-stagiaire-affaires-publiques-dans-lequipe-de-lapril ? http://www.april.org/sites/default/files/clescourret.jpg https://april.org/merci-quentin-pour-le-stage-admin-sys ? http://www.april.org/sites/default/files/qgibeaux-gnou.jpg https://april.org/association/contacter.html ? http://www.april.org/sites/default/files/20140626-local-april-easter-eggs.jpg http://cartosm.eu/map?lon=2.319217&lat=48.836798&zoom=16&width=800&height=350&mark=true&nav=true&pan=true&zb=inout&style=default&icon=down https://april.org/association/tshirt/ ? http://media.april.org/docs/tshirt/T-shirt_3couleurs.jpg http://media.april.org/docs/tshirt/T-shirt_1couleur.jpg http://photos.april.org/d/5933-1/15_ans_April_Paris_028.jpg http://www.april.org/files/t-shirt-brevets-15-ans/t-shirt-15-ans-simulation.png https://april.org/poissons-davril ? http://www.april.org/files/poisson.png https://april.org/association/presse.html ? http://adherents.april.org/dtcphotos/lallorge.png http://adherents.april.org/dtcphotos/fcouchet.png http://adherents.april.org/dtcphotos/jtadeusz.png http://adherents.april.org/dtcphotos/gsedrati-dinet.png http://adherents.april.org/dtcphotos/ldachary.png https://april.org/associations-clusters-groupement-professionnels-du-logiciel-libre ? http://www.april.org/dtcphotos/libre-entreprise.png http://www.april.org/files/logo-fnill.png http://www.april.org/files/logo-cnll.png http://www.april.org/dtcphotos/alliancelibre.png http://www.april.org/files/caplibre.png http://www.april.org/dtcphotos/libertis.png http://www.april.org/files/ploss.png http://www.april.org/files/ploassra.png http://www.april.org/files/polenord.png http://www.april.org/files/prolibre.png http://www.april.org/files/telecomvalley.jpg http://www.logiciels-libres-alsace.com/templates/yt_zeitgeist/images/logo.png https://april.org/groupes/vente-liee ? http://media.april.org/docs/autocollants/sticker_vente-forcee.png http://media.april.org/docs/syntheses/synthese_vente_liee_April.png https://april.org/association/trombinoscope/ ? http://planete.april.org/images/rss20.png
Mis à jour par François Poulain il y a presque 8 ans
- Statut changé de Nouveau à Fermé
Perso je pense que l'outil (drupal) est actuellement inadapté à faire du https strict. Le problème ne vient pas de l'adminsys.
Si quelqu'un veut travailler sur l'outil, qu'il n'hésite pas à rouvrir.
Mis à jour par Edouard Dausque il y a presque 8 ans
le problème devient critique, à mon avis. Aujourd'hui quand je navigue avec Firefox sur www.april.org, j'ai un "cadenas" barré.
Mis à jour par Edouard Dausque il y a presque 8 ans
pour les liens que tu montres au dessus, j'en compte 5 qui sont externes au domaine *.april.org dont libre-en-fete.net et expolibre.org qui sont gérés par l'april.
Reste 3 liens externes :
http://www.logiciels-libres-alsace.com/templates/yt_zeitgeist/images/logo.png est en http 403
http://lepassagerclandestin.fr/typo3temp/pics/18202e843d.jpg fonctionne en https mais on pourrait en profiter pour l'héberger sur april.org
http://cartosm.eu qui n'est pas disponible en https. À voir ce que l'on peut trouver comme alternative, restant possible de remplacer par une image fixe et cliquable.
Mis à jour par François Poulain il y a presque 8 ans
Pour cartosm.eu, c'est développé et hosté par Rodo. Je pense qu'il est imaginable de l'avoir en https. Cf ce propos de mai 2015.
PoluX[0]: est-ce que tu penses que un jour cartosm.eu pourrait être en https, ou bien est-ce techniquement difficile ? PoluX[0]: ça s'intègre mal dans les sites https en l'état :) PoluX[0]: mbon, on peut en reparler quand tu veux/peux rodo: PoluX[0]: non aucune difficulté technique, il faut juste que j'achète un certif SSL :) PoluX[0]: ok je pourrai te tanner alors :)
Depuis il y a Let's Encrypt ...
Pour le reste, il faudrait amha a minima que le CMS intègre systématiquement des URL sans plan, et effectivement un fetcher d'image ne serait pas du luxe. Mais comme je dis, notre instance Drupal ne fait pas ça, et perso je ne compte pas la corriger. :)
Mis à jour par François Poulain il y a plus de 7 ans
- Statut changé de Fermé à Confirmé
Je ré-ouvre le ticket : denis propose une configuration nginx de réécriture du contenu qui résoud une partie du problème (si les ressources incluses sont accessibles en https).
Mis à jour par Benjamin Drieu il y a presque 7 ans
- Assigné à mis à Benjamin Drieu
- Priorité changé de Normale à Élevée
- Version cible changé de Backlog à Février 2018
Mis à jour par Benjamin Drieu il y a plus de 6 ans
- Lié à Demande #1752: Implémenter HTTP Strict Transport Security sur april.org ajouté
Mis à jour par Benjamin Drieu il y a plus de 6 ans
- Statut changé de Confirmé à Résolu
HSTS résout en partie le problème en ne téléchargeant que des documents HTTPS. En revanche, il convient quand même de ne présenter que des médias en HTTPS car sur certains firefox, le cadenas reste ouvert. C'est une problématique de webmastering.