Auteur Sujet: Les hébergeurs d'images et le https  (Lu 3213 fois)

0 Membres et 1 Invité sur ce sujet

turold

  • La fibre idéal
  • ******
  • Messages: 1 675
  • mp fermée
Les hébergeurs d'images et le https
« le: 21 décembre 2017 à 21:58:39 »
...
« Modifié: 23 novembre 2018 à 03:13:47 par turold »

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 780
  • Paris (15ème)
    • MilkyWan
[en cours] les hébergeurs d'images et le https
« Réponse #1 le: 21 décembre 2017 à 22:22:17 »
Y'a aussi pix.milkywan.fr  :) ::)

turold

  • La fibre idéal
  • ******
  • Messages: 1 675
  • mp fermée
[en cours] les hébergeurs d'images et le https
« Réponse #2 le: 21 décembre 2017 à 22:37:13 »
Y'a aussi pix.milkywan.fr  :) ::)
Lol, et la petite pub perso.^^

Bon, ajouté.
Mais je ne mettrai pas le mien.
Je suis déjà hors limite côté contrat. Je suis juste en zone de tolérance de mon hébergeur.

Après, je pourrai faire comme toi, mais sans l'option de durée illimitée. Mais bof, du coup.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 780
  • Paris (15ème)
    • MilkyWan
[en cours] les hébergeurs d'images et le https
« Réponse #3 le: 21 décembre 2017 à 22:44:00 »
Si tu cherches un endroit où t'héberger, on peut en discuter :p

turold

  • La fibre idéal
  • ******
  • Messages: 1 675
  • mp fermée
[en cours] les hébergeurs d'images et le https
« Réponse #4 le: 22 décembre 2017 à 23:05:52 »
Mise à jour du premier tiers de la liste (par ordre alphabétique, pas de jaloux^^).
Et ajout de image-heberg.

turold

  • La fibre idéal
  • ******
  • Messages: 1 675
  • mp fermée
[en cours] les hébergeurs d'images et le https
« Réponse #5 le: 23 décembre 2017 à 04:06:30 »
Intéressant.

Le mixed content de image-heberg montre un désaccord entre Firefox et Chrome:
- Firefox: tout va bien dans le meilleur des mondes. Ne vérifie que l'affichage pour cela.
- Chrome: https sans couleur particulière, avec mention de mixed content. Mais au détail console:
Citer
Mixed Content: The page at 'https://www.image-heberg.fr/' was loaded over a secure connection, but contains a form which targets an insecure endpoint 'http://www.image-heberg.fr/upload.php'. This endpoint should be made available over a secure connection.
Le formulaire d'upload pointe en HTTP.

Pour le cas de Héberger-Image. Très classique, une image est en HTTP.

Dans ces 2 sites, cela sent un oubli. Mais SSL Labs mettra F au 1er (grade A actuellement), et C au 2eme (déjà grade C pour une autre raison et risque même le grade T en septembre prochain), courant 2018.
« Modifié: 23 décembre 2017 à 04:26:33 par turold »

turold

  • La fibre idéal
  • ******
  • Messages: 1 675
  • mp fermée
Les hébergeurs d'images et le https
« Réponse #6 le: 25 décembre 2017 à 00:04:59 »
Salut,

Voilà, tout est traité au niveau des listes!

Ajout de Hiboox, car il a été utilisé, malgré qu'il est en train de progressivement fermé.

Autres modifications:
- mise en gras des titres de liste
- mise en vert foncé du HTTPS only (j'hésite fortement pour une couleur de la liste HTTP/HTTPS)
- mise en italique des remarques (positives comme négatives) qui pourraient changer le site de liste... si c'était mieux géré vis à vis du HTTPS, ou contenu mixte.

J'ai AdBlock Plus d'activé pour presque tous les sites. Je repasserai les 2 premières listes pour voir si d'autres sites que Servimg ont des pubs HTTP sur HTTPS. Il était déjà en liste blanche de l'extension, et pas pensé avant pour les autres sites.

Réflexion:
- mettre le grade ssl labs? J'ai déjà viré les cas du grade T, car les navigateurs sont trop dissuasifs pour que les gens accèdent à un tel HTTPS. Pour le reste, je ne regarde que les sites... qui sont souvent pas sur le même serveur physique que les images. Donc pas obligatoirement la même config HTTPS... Et un grade est susceptible d'évoluer, soit indépendamment du serveur soit par un changement de config sur le serveur.
- mettre les liens (HTTPS en priorité si dispo) des sites?
- pour le contenu mixte, préciser ce qui est en HTTP, au moins pour la page d'accueil?

turold

  • La fibre idéal
  • ******
  • Messages: 1 675
  • mp fermée
Les hébergeurs d'images et le https
« Réponse #7 le: 27 décembre 2017 à 23:21:47 »
J'ai AdBlock Plus d'activé pour presque tous les sites. Je repasserai les 2 premières listes pour voir si d'autres sites que Servimg ont des pubs HTTP sur HTTPS. Il était déjà en liste blanche de l'extension, et pas pensé avant pour les autres sites.
Voilà:
- HostingPics (parfois du script HTTP sur le site HTTPS quand on désactive AdBlock Plus)
Ce qui m'a amené aussi à mieux regarder le scripting sur le suivant:
- PicturesCloud (contenu HTTP, pas de fonctionnalité par défaut car tous les scripts sont en HTTP, et pas de mise en page sur le site HTTPS!?!)

Bref, le contenu mixte sont surtout des oublis, ou une sorte de non-priorité du HTTPS. Mais bon, s'agissant des scripts (pubs ou pas), c'est bloqué par défaut par les navigateurs pas trop vieux...

J'ai aussi précisé que la 3eme liste pouvait aussi être un gros problème de certificat TLS (j'ai vu du sous-domaine pas valide, et peut y avoir du tiers pas de confiance, une validité expirée, et ce genre de choses).

Pour le grade ssl labs, je pense plutôt le mettre si c'est du grade D ou F (en rouge). Le E n'est plus utilisé, le T je mets directement dans la 3eme liste, et je suis comme Qualys: je considère que le strict minimum est grade C (les grades A, A+, et A- étant mieux bien entendu).
D'ailleurs, Hugues, le sous-domaine a une bizarrerie en IPv4 selon ssl labs, ce qui ne change que peu le grade par rapport à IPv6 (A et A+).

Pour les liens, la 2eme liste me pose problème avec ceux qui délaissent le https tout en le conservant, parfois à l'absurdité comme PicturesCloud.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 780
  • Paris (15ème)
    • MilkyWan
Les hébergeurs d'images et le https
« Réponse #8 le: 28 décembre 2017 à 00:26:59 »
Ah tiens en effet, il envoie 2 headers HSTS (celui du Reverse Proxy et celui du serveur original). Vu que je l'active en global, c'est un peu compliqué à corriger... Merci !

turold

  • La fibre idéal
  • ******
  • Messages: 1 675
  • mp fermée
Les hébergeurs d'images et le https
« Réponse #9 le: 30 décembre 2017 à 00:22:28 »
Pour le grade ssl labs, je pense plutôt le mettre si c'est du grade D ou F (en rouge). Le E n'est plus utilisé, le T je mets directement dans la 3eme liste, et je suis comme Qualys: je considère que le strict minimum est grade C (les grades A, A+, et A- étant mieux bien entendu).
Voilà, ImageShack et imageshotel ont tout deux le grade [F].
Et ajout, en fin du 1er message, de ce que ce grade signifie dans la pratique.

Comme quoi, il y en a un qui se repose un peu trop sur sa réputation... Les deux ont aussi une vulnérabilité pour du grade C (et le 2eme un peu plus de choses encore).
Mais bon, grade C ou mieux, je ne mets pas.
Ici, un peu mieux que SSL Pulse, malgré cela: très grande majorité de A+/A/A-. Un peu de B/C/F.

J'ai vu un peu de grade T pour non-gestion dans le certificat TLS de la racine du domaine ou du www. Mais pas de souci si on reste sur le même url que le HTTP. Donc statu quo sur les listes.

turold

  • La fibre idéal
  • ******
  • Messages: 1 675
  • mp fermée
Les hébergeurs d'images et le https
« Réponse #10 le: 30 décembre 2017 à 02:09:04 »
Désolé pour le double message cette nuit, mais ajout de allo-image, flickr, imagesia, et xooimage.

vivien

  • Administrateur
  • *
  • Messages: 29 962
    • Twitter LaFibre.info
Les hébergeurs d'images et le https
« Réponse #11 le: 30 décembre 2017 à 20:22:48 »
Merci,

Je rajoute puu.sh qui semble ne plus exister.

J'ai vu des messages de Thibault avec des images manquantes pointant vers cet hébergeur.

 

Mobile View