Admins

En fait, mon explication est peut-être hâtive. Pourquoi l'alerte ?

Alors, une source l'alerte est : https://www.april.org/files/images/logo/logo-april.png

Reste à comprendre pourquoi…

17:12 < cpm_screen> est-ce que vous pourriez vérifier si dans votre Firefox, vous avez un triangle d'alerte à gauche du champ d'URL avec https://www.april.org/files/images/logo/logo-april.png ?
17:12 < QGuLL> ya rien
17:12 < QGuLL> 64.0a1 (2018-10-10) (64-bit)
17:13 < QGuLL> ah si
17:13 < QGuLL> il est apparu après coup
17:34 < PoluX________> cpm_screen: je n'ai aps de triangle
17:51 < cpm_screen> PoluX________: quel navigateur ? Version ?
17:52 < PoluX________> firefox 60.3.0esr
18:13 < madix> cpm_screen: pas de triangle orange non plus
18:17 < madix> pas de triangle (firefox 52.9.0)

Mais pourquoi ?!!

Mais pourquoi ?!!

Dans la console :

Chargement du contenu mixte d’affichage « http://www.april.org/files/images/logo/logo-april.png?q=images/logo/logo-april.png » (non sécurisé) sur une page sécurisée[En savoir plus]

Ça concerne visiblement le logo, inclut dans le thème via https://www.april.org/images/logo/logo-april.png

Dans le shell

$ curl -I https://www.april.org/images/logo/logo-april.png
HTTP/1.1 301 Moved Permanently
Server: nginx/1.10.3
Date: Wed, 05 Dec 2018 20:26:54 GMT
Content-Type: text/html; charset=iso-8859-1
Connection: keep-alive
Location: http://www.april.org/files/images/logo/logo-april.png?q=images/logo/logo-april.png
Strict-Transport-Security: max-age=15768000; includeSubDomains

La cause : /etc/drupal/6/htaccess contient des térachiées de redirections permanentes vers du http.

Et vu que c'est du permanent c'est incontrôlable.

Moralité : HSTS ne suffit pas. :)

Next action : faire chauffer sed.

Proposition : intégrer proprement le logo dans sympa.