Projet

Général

Profil

Anomalie #3464

Les pages Sympa déclenchent une signal d'alerte de sécurité dans Firefox

Ajouté par Christian P. Momon il y a environ 2 mois. Mis à jour il y a environ un mois.

Statut:
En cours de traitement
Priorité:
Faible
Assigné à:
Catégorie:
-
Version cible:
Début:
20/11/2018
Echéance:
% réalisé:

0%

Difficulté:
2 Facile

Description

En chargeant dans Firefox la page https://listes.april.org/wws/editfile/liste-infos/homepage/, on obtient une alerte du navigateur comme quoi la page contient des ressources non chiffrées.

Pourquoi ? Peut-on le corriger ?

Historique

#1 Mis à jour par Christian P. Momon il y a environ 2 mois

  • Statut changé de Nouveau à En cours de traitement

#2 Mis à jour par Christian P. Momon il y a environ 2 mois

En fait, mon explication est peut-être hâtive. Pourquoi l'alerte ?

#3 Mis à jour par Christian P. Momon il y a environ 2 mois

  • Description mis à jour (diff)

#4 Mis à jour par Christian P. Momon il y a environ 2 mois

Alors, une source l'alerte est : https://www.april.org/files/images/logo/logo-april.png

Reste à comprendre pourquoi…

#5 Mis à jour par Christian P. Momon il y a environ 2 mois

  • Sujet changé de La description de la liste liste-infos@april.org contient des liens April non HTTPS à Les pages Sympa déclenchent une signal d'alerte de sécurité dans Firefox

#6 Mis à jour par Christian P. Momon il y a environ 2 mois

17:12 < cpm_screen> est-ce que vous pourriez vérifier si dans votre Firefox, vous avez un triangle d'alerte à gauche du champ d'URL avec https://www.april.org/files/images/logo/logo-april.png ?
17:12 < QGuLL> ya rien
17:12 < QGuLL> 64.0a1 (2018-10-10) (64-bit)
17:13 < QGuLL> ah si
17:13 < QGuLL> il est apparu après coup
17:34 < PoluX________> cpm_screen: je n'ai aps de triangle
17:51 < cpm_screen> PoluX________: quel navigateur ? Version ?
17:52 < PoluX________> firefox 60.3.0esr
18:13 < madix> cpm_screen: pas de triangle orange non plus
18:17 < madix> pas de triangle (firefox 52.9.0)

Mais pourquoi ?!!

#7 Mis à jour par François Poulain il y a environ un mois

Mais pourquoi ?!!

Dans la console :

Chargement du contenu mixte d’affichage « http://www.april.org/files/images/logo/logo-april.png?q=images/logo/logo-april.png » (non sécurisé) sur une page sécurisée[En savoir plus]

Ça concerne visiblement le logo, inclut dans le thème via https://www.april.org/images/logo/logo-april.png

Dans le shell

$ curl -I https://www.april.org/images/logo/logo-april.png
HTTP/1.1 301 Moved Permanently
Server: nginx/1.10.3
Date: Wed, 05 Dec 2018 20:26:54 GMT
Content-Type: text/html; charset=iso-8859-1
Connection: keep-alive
Location: http://www.april.org/files/images/logo/logo-april.png?q=images/logo/logo-april.png
Strict-Transport-Security: max-age=15768000; includeSubDomains

La cause : /etc/drupal/6/htaccess contient des térachiées de redirections permanentes vers du http.

Et vu que c'est du permanent c'est incontrôlable.

Moralité : HSTS ne suffit pas. :)

Next action : faire chauffer sed.

Formats disponibles : Atom PDF