Project

General

Profile

Anomalie #3464

Les pages Sympa déclenchent une signal d'alerte de sécurité dans Firefox

Added by Christian P. Momon 10 months ago. Updated 10 months ago.

Status:
En cours de traitement
Priority:
Faible
Category:
-
Target version:
Start date:
11/20/2018
Due date:
% Done:

0%

Difficulté:
2 Facile

Description

En chargeant dans Firefox la page https://listes.april.org/wws/editfile/liste-infos/homepage/, on obtient une alerte du navigateur comme quoi la page contient des ressources non chiffrées.

Pourquoi ? Peut-on le corriger ?

History

#1 Updated by Christian P. Momon 10 months ago

  • Status changed from Nouveau to En cours de traitement

#2 Updated by Christian P. Momon 10 months ago

En fait, mon explication est peut-être hâtive. Pourquoi l'alerte ?

#3 Updated by Christian P. Momon 10 months ago

  • Description updated (diff)

#4 Updated by Christian P. Momon 10 months ago

Alors, une source l'alerte est : https://www.april.org/files/images/logo/logo-april.png

Reste à comprendre pourquoi…

#5 Updated by Christian P. Momon 10 months ago

  • Subject changed from La description de la liste liste-infos@april.org contient des liens April non HTTPS to Les pages Sympa déclenchent une signal d'alerte de sécurité dans Firefox

#6 Updated by Christian P. Momon 10 months ago

17:12 < cpm_screen> est-ce que vous pourriez vérifier si dans votre Firefox, vous avez un triangle d'alerte à gauche du champ d'URL avec https://www.april.org/files/images/logo/logo-april.png ?
17:12 < QGuLL> ya rien
17:12 < QGuLL> 64.0a1 (2018-10-10) (64-bit)
17:13 < QGuLL> ah si
17:13 < QGuLL> il est apparu après coup
17:34 < PoluX________> cpm_screen: je n'ai aps de triangle
17:51 < cpm_screen> PoluX________: quel navigateur ? Version ?
17:52 < PoluX________> firefox 60.3.0esr
18:13 < madix> cpm_screen: pas de triangle orange non plus
18:17 < madix> pas de triangle (firefox 52.9.0)

Mais pourquoi ?!!

#7 Updated by François Poulain 10 months ago

Mais pourquoi ?!!

Dans la console :

Chargement du contenu mixte d’affichage « http://www.april.org/files/images/logo/logo-april.png?q=images/logo/logo-april.png » (non sécurisé) sur une page sécurisée[En savoir plus]

Ça concerne visiblement le logo, inclut dans le thème via https://www.april.org/images/logo/logo-april.png

Dans le shell

$ curl -I https://www.april.org/images/logo/logo-april.png
HTTP/1.1 301 Moved Permanently
Server: nginx/1.10.3
Date: Wed, 05 Dec 2018 20:26:54 GMT
Content-Type: text/html; charset=iso-8859-1
Connection: keep-alive
Location: http://www.april.org/files/images/logo/logo-april.png?q=images/logo/logo-april.png
Strict-Transport-Security: max-age=15768000; includeSubDomains

La cause : /etc/drupal/6/htaccess contient des térachiées de redirections permanentes vers du http.

Et vu que c'est du permanent c'est incontrôlable.

Moralité : HSTS ne suffit pas. :)

Next action : faire chauffer sed.

Also available in: Atom PDF