(#3934) : Soucis avec le https

[demeter1]

Détails techniques

Version du forum : phpBB2
Poste occupé : Administrateur
Navigateur(s) concerné(s) : Opera
Personnes concernées par le problème : Tous les utilisateurs
Lien du forum : https://altitudetropicale.forums-actifs.com/

Description du problème

bonjour à tous,
je suis passé au pack avancé pour désactiver la publicité et par la même occasion, j'ai activé le https.

Ayant des iframes en http dans certains messages, j'avais pour intention de ne pas activer la fonctionnalité "Forcer la compatibilité HTTPS (label "Sécurisé")" afin d'avoir un contenu mixte. je l'ai activé au début le temps de mettre en conformité le forum.

Pour préparer le forum j'ai contrôlé les points suivants pour passer les éventuels liens en http en https :
le css
les templates (par deux fois)
les pages html
les javascripts
les contenus des catégories et des forums
la barre de navigation (vu que j'ai rajouté un bouton qui menait vers un lien externe; il est en https donc pas de soucis)
les pages portails et les widgets qu'elles contiennent
le message de bienvenue
le Règlement supplémentaire
les pages de la faq
les généralités
le Favicon du forum
la description du site


j'ai opéré des modifs sur des maj non signalés comme par exemple la partie de google analytic qui anciennement était ainsi

Code:

<!-- BEGIN google_analytics_code -->
    <script type="text/javascript">
    //<![CDATA[
    var _gaq = _gaq || [];
    _gaq.push(['_setAccount', '{G_ANALYTICS_ID}']);
    _gaq.push(['_trackPageview']);

    <!-- BEGIN google_analytics_code_bis -->
    _gaq.push(['b._setAccount', '{G_ANALYTICS_ID_BIS}']);
    _gaq.push(['b._trackPageview']);
    <!-- END google_analytics_code_bis -->

 (function() {
 var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
 ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
 var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
 })();
 //]]>
 </script>
 <!-- END google_analytics_code -->


pour passer à ceci

Code:

<!-- BEGIN google_analytics_code -->
    <script type="text/javascript">
        //<![CDATA[
        (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
        (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
            m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
        })(window,document,'script','//www.google-analytics.com/analytics.js','ga');

        ga('create', '{G_ANALYTICS_ID}', 'auto');
        ga('send', 'pageview');
        ga('set', 'anonymizeIp', true);

        <!-- BEGIN google_analytics_code_bis -->
        ga('create', '{G_ANALYTICS_ID_BIS}', 'auto', 'bis');
        ga('bis.send', 'pageview');
        ga('bis.set', 'anonymizeIp', true);
        <!-- END google_analytics_code_bis -->
        //]]>
    </script>
    <!-- END google_analytics_code -->


ne sachant si le http du premier allait avoir une incidence j'ai préféré faire la modif en comparant avec le template par défaut.

Ayant terminé ce travail, j'ai désactiver le bouton "Forcer la compatibilité HTTPS (label "Sécurisé")".

Soucis : au chargement le forum est en mode sécurisé mais dés la fin du chargement,il passe en non sécurisé (je parle de la partie index; si cela avait été sur un message, je ne me serai pas inquiété outre mesure).

Question : il y a t'il d'autres vérifications ou modifs à faire ?

Merci par avance pour votre aide

[demeter1]

soucis résolu.

Après avoir analysé le forum avec : https://www.whynopadlock.com  il s'est avéré que des liens en https provoquaient l'appel du non sécurisé.

https://i.imgur.com/DYwSiJf.gif
https://i.imgur.com/DYwSiJf.gif
https://i.imgur.com/eaB5FHK.png
https://i.imgur.com/sl0Efuz.png

https://i.servimg.com/u/f21/11/93/85/24/baggs-10.png

ce dernier n'était pas systématiquement déclaré d'une analyse à 'autre.

Si quelqu'un sait pourquoi un lien en https est à même de provoquer ce genre de soucis, n'hésitez pas.

Merci par avance

[Pinguino]

Bonjour,

Pour de futures analyses, nous recommandons d'utiliser l'outil https://httpschecker.net/how-it-works#httpsChecker ! Il n'est pas des plus adaptés pour les gros forums car le nombre de pages crawlées est limité. Néanmoins, il est conseillé par Google (https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content#alternatives_to_csp) et détecte assez bien les raisons d'un problème de "Mixed Content".

Si quelqu'un sait pourquoi un lien en https est à même de provoquer ce genre de soucis, n'hésitez pas.

C'est donc une ressource en HTTPS qui est la cause de ce warning ? Peut-être un certificat non renouvelé ou de mauvaise qualité (https://www.clubic.com/navigateur-internet/google-chrome/actualite-846165-chrome-70-google-choix-https-navigateur.html) ?

[demeter1]

Bonjour Pinguino,
ce sont effectivement des ressources en https qui occasionnent le soucis.

je suis en train de ré-herger toutes les images d'imgur.

I y a par contre des affichages de site non sécurisé que je ne m'explique pas
sur ce lien par exemple
https://altitudetropicale.forums-actifs.com/t4517-billbergia-pyramidalis?tt=1#37319

si je passe cette unique page à l'analyse, j'obtiens : You have no mixed content.



et pourtant, j'ai la mention non sécurisé


j'ai actionné https://httpschecker.net/how-it-works#httpsChecker pour voir s'il me déclarait quelque chose sur cette page mais, aucune déclaration sur cette page.

j'ai supposé que les signatures posaient un soucis mais, en créant un nouveau sujet et, en désactivant la signature, j'ai exactement le même soucis.

Au final, hormis l'index et le pa qui affichent la mention sécurisée, toutes les autres pages sont en non sécurisé.

[Pinguino]

Sur Chrome et Firefox, je n'ai aucune alerte sur l'URL https://altitudetropicale.forums-actifs.com/t4517-billbergia-pyramidalis?tt=1#37319. Maintenant ce qui peut être plus compliqué à identifier, c'est quand on appelle un script hébergé en HTTPS mais qui lui-même appelle une ressource en HTTP par exemple.

Et comme chaque navigateur n'a pas le même comportement que l'autre ...

[demeter1]

bon, voila qui est encore plus étrange.je viens de contrôler avec ces deux navigateurs et j'ai le même affichage qu'avec opera . j'ai pris la précaution de vider les caches entre chaque .

chrome


firefox

[The koch]

Bonsoir,

Ce comportement semble indiquer que c'est une ressource disponible pour les membres connectés qui pose souci certainement

Envoyé depuis l'appli Topic'it

[demeter1]

merci The koch.

Effectivement, je n'avais pas pensé à cette possibilité.

Maintenant, comment la détecter ?

edit : apparement un js était responsable du soucis.

vu que j'ai pour habitude de désactiver les js en partant du bas, cela a eu pour effet de modifier l'ordre initial (logique). Bizarrement, ce simple déplacement à fait réapparaitre la mention site sécurisé.

techniquement, je ne vois pas trop ce qui dans ces 2 js  pose soucis;les cookies du premier js !!!!!!

Code:

/* taille des écrits par le biais des boutons sur editeur*/
$(document).ready(function(){$.cookie("tropic")&&$("p.M14_first-letter,span.postdetails,body,.altitude_encadrement,.sceditor-container textarea , .sceditor-container .postbody,.postbody,.quote,.cont_code,.spoiler_content,.altitude_encadrement .genmed b,td.pany,table.dany,.post-options,.fiche.M14_NotID,.ficha,.ficha.M14_NotID.M14, .fiche, .no-select").addClass($.cookie("tropic")),$(".M14_px a").click(function(){var t=$(this).parent().attr("class");return $("p.M14_first-letter,span.postdetails,body,.altitude_encadrement,.sceditor-container textarea , .sceditor-container .postbody,.postbody,.quote,.cont_code,.spoiler_content,.altitude_encadrement .genmed b,td.pany,table.dany,.post-options,.fiche.M14_NotID,.ficha,.ficha.M14_NotID.M14, .fiche, .no-select").removeClass("M14_14px M14_16px M14_18px M14_20px").addClass(t),$.cookie("tropic",t,{path:"/",expires:1e4}),!1})});

/* Nombre de caractéres minimum pour pouvoir poster */
$(function(){$.fn.sceditor&&($(".sceditor-container.ltr.sourceMode").after('<div  class="M14_quickreplyInf" style="display:none;"><span style="float:left;"><img src="https://i.servimg.com/u/f68/11/26/21/37/circle17.png"/></span>Oups!! Le nombre de caract\u00e8res requit n\'est pas atteint<span style="float:right;">Minimum ==>5 caract\u00e8res</span></div><br />'),$('#quick_reply input[name="post"]').click(function(){if(5>$("#text_editor_textarea").sceditor("instance").val().length)return $(".M14_quickreplyInf").fadeIn().show(500),
!1;instance=$("#text_editor_textarea").sceditor("instance");$(".M14_quickreplyInf").hide();$("#quick_reply").before('<div class="M14_quickreply"style="padding:3px;margin-top:10px;font-size :13px;">Veuillez Patienter le temps de la diffusion..............</div>')}))});

Pour certaines pages, il s'agissait tout bonnement de l'avatar par défaut qui bien qu'en https faisait une requête en http

[demeter1]

je complète les informations.

Apparemment certaines images de servimg font l'objet d'un blocage au niveau de l'affichage du cadenas sécurisé.

voici une page html qui est appelée en iframe dans la partie faq

Code:

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta name="generator" content="HTML Tidy for Linux (vers 25 March 2009), see www.w3.org"> <title></title> <style type="text/css"> span.c4{color: #7B9C40;font-size: 18px;line-height: normal;text-decoration: underline;}span.c3{color: red}span.c2{font-size: 16px; line-height: normal;color : #7b9c3f}span.c1{font-size: 24px; line-height: normal; color : #7b9c3f}</style> </head> <body> <span class="c1"><strong>Surveillance des nouveaux sujets</strong></span><br/> <br/> <font color=#c9bfbf> Cette fonction permet d'être averti par email à chaque fois qu'un nouveau sujet est ouvert dans une section que l'on a choisi de surveiller.</font><br/> <br/> <span class="c4"> Pour surveiller un forum</span><br/> <br/> <font color=#c9bfbf>Vous entrez à l'intérieur du forum dont vous voulez être averti de l'ouverture de nouveaux sujets puis vous cliquez sur le lien "Surveiller les sujets de ce forum",comme indiqué dans ce screenshot :</font><br/> <br/></span> <img src="https://i.servimg.com/u/f33/11/93/85/24/sans_198.png" border="0"/><br/> <br/> <font color=#c9bfbf>À partir de là, vous recevrez un email à chaque fois qu'un nouveau sujet sera ouvert.</font><br/> <br/> <br/> <span class="c4">Arrêter de surveiller un forum</span><br/> <br/> <font color=#c9bfbf>Vous entrez à nouveau dans le forum et vous cliquez sur "Arrêter de surveiller ce forum"<br/></font> <br/> <img src="https://i.servimg.com/u/f33/11/93/85/24/sans_199.png" border="0"/><br/> <br/> <font color=#c9bfbf>Ainsi, vous ne recevrez plus d'email lors de l'ouverture de nouveaux sujets.</font><br/> <br/> <br/> <span class="c4">Surveillance des réponses</span><br/> <br/> <font color=#c9bfbf> Il se peut que vous vouliez être averti par email de réponses aux sujets auxquels vous avez participé. Pour cela, il y a plusieurs façons de l'activer selon ce que vous voulez.</font><br/> <br/> <strong><span class="c2">1- En postant un message et en passant par le message étendu (c'est à dire en cliquant sur répondre)</span></strong><br/> <br/> <font color=#c9bfbf>Vous cliquez sur le petit + à côté de "Options" s'il n'est pas déroulé.</font><br/> <br/> <img src="https://i.servimg.com/u/f33/11/93/85/24/sans_200.png" border="0"/><br/> <br/> <font color=#c9bfbf> Puis vous cochez "M'avertir lorsqu'une réponse est postée"<br/></font> <br/> <img src="https://i.servimg.com/u/f33/11/93/85/24/sans_201.png" border="0"/><br/> <br/> <font color=#c9bfbf> Vous pouvez désactiver la surveillance n'importe quand en éditant votre message et en décochant la case en question.</font><br/> <br/> <strong><span class="c2">2- En bas des sujets, sans poster</span></strong><br/> <br/> <font color=#c9bfbf>Sans nécessairement répondre, vous pouvez choisir de surveiller le sujet que vous parcourez. Pour cela, allez en bas de la page du sujet et vous verrez le lien "Surveiller les réponses de ce sujet" sur lequel vous devez cliquer.</font><br/> <br/> <img src="https://i.servimg.com/u/f33/11/93/85/24/sans_202.png" border="0"/><br/> <br/> <font color=#c9bfbf> Si vous voulez arrêter de le surveiller, vous pouvez revenir à ce même endroit et cliquer sur le lien "Arrêter de surveiller ce sujet"</font><br/> <br/> <img src="https://i.servimg.com/u/f33/11/93/85/24/sans_203.png" border="0"/><br/> <br/> <br/> <span class="c2">3- Dans votre profil</span><br/> <br/> <font color=#c9bfbf>Si cette option est activée dans le profil, la case "M'avertir lorsqu'une réponse est postée" sera automatiquement cochée à chaque fois que vous posterez un message.<br/> <br/> Pour activer la surveillance des réponse, allez dans "Profil" en haut du forum</font><br/> <br/> <img src="https://i.servimg.com/u/f33/11/93/85/24/sans_204.png" border="0"/><br/> <br/> <font color=#c9bfbf> Allez dans l'onglet "Préférences"</font><br/> <br/> <img src="https://i.servimg.com/u/f33/11/93/85/24/sans_205.png" border="0"/><br/> <br/> <font color=#c9bfbf> Sélectionnez "Oui" à côté de "Toujours m'avertir des réponses"</font><br/> <br/> <img src="https://i.servimg.com/u/f33/11/93/85/24/sans_206.png" border="0"/> <br/> <br/> <strong><span class="c3">/!\ NOTE IMPORTANTE : Cette option est activée par défaut pour l'Administrateur fondateur</span></strong><br/> <br/> <font color=#c9bfbf> Si vous ne voulez plus surveiller les réponses, vous cochez tout simplement "Non".<br/> <br/> <br/> <strong>Ouais mais là, j'ai mis Non, mais je continue à recevoir des emails !</strong><br/> <br/> Lorsque vous désactivez les notifications de réponses, <strong>ceci ne sera effectif que pour les nouveaux messages que vous posterez</strong>. Donc si vous voulez arrêter de surveiller tous les sujets auxquels vous avez participé, retournez dans votre profil, puis allez dans "Sujets surveillés"</font><br/> <br/> <img src="https://i.servimg.com/u/f33/11/93/85/24/sans_208.png" border="0"/><br/> <br/> <font color=#c9bfbf> Sélectionnez les sujets que vous voulez arrêter de surveillez puis cliquez sur "Arrêter de surveiller les sujets sélectionnés".</font><br/> <br/> <img src="https://i.servimg.com/u/f33/11/93/85/24/sans_209.png" border="0"/><br/> <br/> </body> </html>

le code iframe installé

Code:

<!DOCTYPE html><html><head> <meta content="HTML Tidy for Linux (vers 25 March 2009), see www.w3.org" name="generator"> <title></title></head><body> <iframe align="right" frameborder="0" height="3890px" id="iframe" name= "iframe" scrolling="no" src="h39-surveillance-des-sujets" width= "100%"></iframe></body></html>

toutes les images sont en https mais voici ce que me déclare chrome




En gros, les liens sont bien en https mais la requête est faite en  http

par exemple : https://i.servimg.com/u/f33/11/93/85/24/sans_198.png se transforme en http://i.servimg.com/u/f33/11/93/85/24/sans_198.png

j'ai eu également le cas avec l'avatar par défaut qui était en https mais en requête en http. Résultat, tous les sujets où cette image était présente affichait une connexion non sécurisée. j'espère juste que le soucis n'est pas effectif sur certains avatar des membres car là

[demeter1]

Si ce dernier point pouvait être relayé à servimg pour qu'ils puissent faire le nécessaire.

Personnellement, cela ne me pose pas de soucis de ré-héberger les images mais, pour ceux qui souhaitent passer à un contenu mixte, le fait d'avoir des images en https qui ont une requête en http risque fortement de leur poser des soucis lorsqu'ils vont vouloir mettre en conformité leur forum.

Techniquement, il me semble qu'il s'agit des images hébergées au temps du http et, qui ont été reconvertis par la suite en https.

[demeter1]

up

[The Godfather]

Bonjour @demeter1

Effectivement, il y a bien là un problème il me semble

Nous allons analyser cela et voir ce qu'on peut faire

Merci pour ce signalement

Suivi débug : #3934

[demeter1]

Merci The Godfather pour cette prise en compte.

[The Godfather]

Bonjour @demeter1

Un correctif vient d'être poussé en ligne. Pouvez-vous svp vérifier et me dire si cela règle le problème de votre coté ?

Merci

[demeter1]

Bonjour The Godfather,
le correctif fonctionne à merveille

Merci pour la prise en compte de ce soucis et pour votre réactivité.

[The Godfather]

Parfait, content de voir que cela répond à tes attentes

---

Note d'information pour tous les membres :

Avec ce correctif, nous avons optimisé la gestion des certificats SSL de vos forums. Cela, en les rendant nativement compatibles avec une ressource de base saisie en HTTP. En effet, dès lors qu'une ressource de base est disponible en HTTPS, nous forçons sont affichage en HTTPS qu'importe le protocole saisie. Cela pour éviter les problèmes de contenu mixte faisant apparaître des alertes d'insécurité sur des pages pourtant sécurisées. En plus claire, si nous détectons qu'une ressource de base saisie en HTTP est dispo en HTTPS, nous allons automatiquement l'afficher en HTTPS même si l'utilisateur l'a saisie en HTTP garantissant ainsi le maintien du label sécurisé de la page. Exemple : Un utilisateur met dans un message une image servimg en HTTP, à l'affichage cette image Servimg sera appelée en HTTPS car nous avons l'information que cette ressource est disponible en HTTPS. Avec cette optimisation, l'option se trouvant dans votre panneau d'admin > Divers > Gestion des crédits > Dépenser des crédits > Certificat SSL > Configuration du protocole HTTPS > Appeler les ressources de base en HTTPS (OUI / NON) n'a plus lieu d'être car intégré nativement dans tous les forums avec un certificat SSL valide. Elle a donc été retirée car devient inutile : Avant l'optimisation : Voir l'exemple: Après l'optimisation : Voir l'exemple: Cordialement, L'équipe Forumactif