Auteur Sujet: Les hébergeurs d'images et le https  (Lu 1940 fois)

0 Membres et 1 Invité sur ce sujet

turold

  • La fibre idéal
  • ******
  • Messages: 1 655
  • essai: mp réouverts, sauf à mes ignorés (15)
Les hébergeurs d'images et le https
« le: 21 décembre 2017 à 21:58:39 »
Salut,

Aussitôt demandé par Vivien, aussitôt mis.^^

En mixant les 4 principales listes, et en enlevant les entrées les plus pourries, voici déjà 43 (et de 53) hébergeurs d'images, ou assimilables parfois.

Uniquement HTTPS (au moins côté site):
- allo-image (mais avec contenu HTTP sur le site)
- Cjoint
- Firefox Send
- flickr
- goopics
- Héberger-Image (mais avec contenu HTTP sur le site)
- imgur
- Joomeo
- Lightpics
- MonAlbum (MyAlbum en fait)
- OpenDrive
- pix.milkywan.fr
- puush.me (images sur puu.sh. Pas de nouveaux utilisateurs depuis 2014. Paypal les a pris comme service de partage de fichiers et a donc désactivé leur compte!)
- turbopix.fr
- world-lolo.com/images (ou redirection depuis ImagesWL.fr)

HTTPS disponible, mais site HTTP par défaut (même si Google mets souvent le HTTPS):
- Archive-Host
- Google Photos
- HostingPics (parfois du script HTTP sur le site HTTPS quand on désactive AdBlock Plus, inscriptions fermées et aucune nouvelles images depuis le 12/01/2018, fin de service dans "plusieurs mois".)
- image-heberg (contenu HTTP sur le site HTTPS repéré par seulement certains navigateurs)
- [F] ImageShack (la page d'accueil, le reste semble être en HTTPS uniquement)
- [F] imageshotel
- imgbb
- NoelShack
- PicturesCloud (contenu HTTP, pas de fonctionnalité par défaut car tous les scripts sont en HTTP, et pas de mise en page sur le site HTTPS!?!)
- Postimage
- Servimg (parfois des pubs en HTTP sur le site HTTPS)
- Tof

Uniquement HTTP ou certificat TLS avec de gros soucis (au moins côté site):
- Casimages
- Din'Hosting (dommage, car la page d'accueil des autres services est en HTTPS uniquement)
- Hiboox (inscriptions fermées, fin du service le 01/10/2018)
- imagesia
- ImageVenue
- Imagilive
- Photobucket (page d'accueil, dommage car le reste semble être en sous-domaines HTTPS uniquement!?!)
- sendpictures.free.fr
- Tinypic
- xooimage
- ZimageZ
- Zupimages

N'existe plus (au moins en temps que service d'hébergeur d'images):
- Easy Sharing
- Hebergement-Photo
- Hebimages
- HostingPicture (soit-disant "En maintenance.")
- HostinPics (redirige vers HostingPics)
- IMAGEDream
- Mabul
- MyZupics
- PixyUp
- Spoodximages
- UniverGold
- UpandPost
- Web-Images
- zupmage.eu (redirige vers turbopix.fr)

[F] : grade fourni par SSL Labs. Le certificat TLS est bon, les navigateurs ne diront rien de mauvais (à part peut être du contenu mixte), mais il y a au moins une faille de sécurité très critique dans le protocole HTTPS, voir même déjà exploitée.

HTTPS dans les hébergeurs existants d'images (donc sur 39, et les % sont arrondis à l'unité mais quand même 100% à l'addition):
HTTPS uniquement (15, soit 38%)
HTTPS et HTTP (12, soit 31%)
HTTP uniquement (12, soit 31%)

NB: données globales de décembre 2017.
Janvier 2018: début de la fin de HostingPics.
Septembre 2018: ajout de zupmage.eu et de turbopix.fr, le 1er en tant que redirection vers le second.
« Modifié: 25 septembre 2018 à 02:46:15 par turold »

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 321
  • Lyon & Paris
    • MilkyWan
[en cours] les hébergeurs d'images et le https
« Réponse #1 le: 21 décembre 2017 à 22:22:17 »
Y'a aussi pix.milkywan.fr  :) ::)

turold

  • La fibre idéal
  • ******
  • Messages: 1 655
  • essai: mp réouverts, sauf à mes ignorés (15)
[en cours] les hébergeurs d'images et le https
« Réponse #2 le: 21 décembre 2017 à 22:37:13 »
Y'a aussi pix.milkywan.fr  :) ::)
Lol, et la petite pub perso.^^

Bon, ajouté.
Mais je ne mettrai pas le mien.
Je suis déjà hors limite côté contrat. Je suis juste en zone de tolérance de mon hébergeur.

Après, je pourrai faire comme toi, mais sans l'option de durée illimitée. Mais bof, du coup.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 321
  • Lyon & Paris
    • MilkyWan
[en cours] les hébergeurs d'images et le https
« Réponse #3 le: 21 décembre 2017 à 22:44:00 »
Si tu cherches un endroit où t'héberger, on peut en discuter :p

turold

  • La fibre idéal
  • ******
  • Messages: 1 655
  • essai: mp réouverts, sauf à mes ignorés (15)
[en cours] les hébergeurs d'images et le https
« Réponse #4 le: 22 décembre 2017 à 23:05:52 »
Mise à jour du premier tiers de la liste (par ordre alphabétique, pas de jaloux^^).
Et ajout de image-heberg.

turold

  • La fibre idéal
  • ******
  • Messages: 1 655
  • essai: mp réouverts, sauf à mes ignorés (15)
[en cours] les hébergeurs d'images et le https
« Réponse #5 le: 23 décembre 2017 à 04:06:30 »
Intéressant.

Le mixed content de image-heberg montre un désaccord entre Firefox et Chrome:
- Firefox: tout va bien dans le meilleur des mondes. Ne vérifie que l'affichage pour cela.
- Chrome: https sans couleur particulière, avec mention de mixed content. Mais au détail console:
Citer
Mixed Content: The page at 'https://www.image-heberg.fr/' was loaded over a secure connection, but contains a form which targets an insecure endpoint 'http://www.image-heberg.fr/upload.php'. This endpoint should be made available over a secure connection.
Le formulaire d'upload pointe en HTTP.

Pour le cas de Héberger-Image. Très classique, une image est en HTTP.

Dans ces 2 sites, cela sent un oubli. Mais SSL Labs mettra F au 1er (grade A actuellement), et C au 2eme (déjà grade C pour une autre raison et risque même le grade T en septembre prochain), courant 2018.
« Modifié: 23 décembre 2017 à 04:26:33 par turold »

turold

  • La fibre idéal
  • ******
  • Messages: 1 655
  • essai: mp réouverts, sauf à mes ignorés (15)
Les hébergeurs d'images et le https
« Réponse #6 le: 25 décembre 2017 à 00:04:59 »
Salut,

Voilà, tout est traité au niveau des listes!

Ajout de Hiboox, car il a été utilisé, malgré qu'il est en train de progressivement fermé.

Autres modifications:
- mise en gras des titres de liste
- mise en vert foncé du HTTPS only (j'hésite fortement pour une couleur de la liste HTTP/HTTPS)
- mise en italique des remarques (positives comme négatives) qui pourraient changer le site de liste... si c'était mieux géré vis à vis du HTTPS, ou contenu mixte.

J'ai AdBlock Plus d'activé pour presque tous les sites. Je repasserai les 2 premières listes pour voir si d'autres sites que Servimg ont des pubs HTTP sur HTTPS. Il était déjà en liste blanche de l'extension, et pas pensé avant pour les autres sites.

Réflexion:
- mettre le grade ssl labs? J'ai déjà viré les cas du grade T, car les navigateurs sont trop dissuasifs pour que les gens accèdent à un tel HTTPS. Pour le reste, je ne regarde que les sites... qui sont souvent pas sur le même serveur physique que les images. Donc pas obligatoirement la même config HTTPS... Et un grade est susceptible d'évoluer, soit indépendamment du serveur soit par un changement de config sur le serveur.
- mettre les liens (HTTPS en priorité si dispo) des sites?
- pour le contenu mixte, préciser ce qui est en HTTP, au moins pour la page d'accueil?

turold

  • La fibre idéal
  • ******
  • Messages: 1 655
  • essai: mp réouverts, sauf à mes ignorés (15)
Les hébergeurs d'images et le https
« Réponse #7 le: 27 décembre 2017 à 23:21:47 »
J'ai AdBlock Plus d'activé pour presque tous les sites. Je repasserai les 2 premières listes pour voir si d'autres sites que Servimg ont des pubs HTTP sur HTTPS. Il était déjà en liste blanche de l'extension, et pas pensé avant pour les autres sites.
Voilà:
- HostingPics (parfois du script HTTP sur le site HTTPS quand on désactive AdBlock Plus)
Ce qui m'a amené aussi à mieux regarder le scripting sur le suivant:
- PicturesCloud (contenu HTTP, pas de fonctionnalité par défaut car tous les scripts sont en HTTP, et pas de mise en page sur le site HTTPS!?!)

Bref, le contenu mixte sont surtout des oublis, ou une sorte de non-priorité du HTTPS. Mais bon, s'agissant des scripts (pubs ou pas), c'est bloqué par défaut par les navigateurs pas trop vieux...

J'ai aussi précisé que la 3eme liste pouvait aussi être un gros problème de certificat TLS (j'ai vu du sous-domaine pas valide, et peut y avoir du tiers pas de confiance, une validité expirée, et ce genre de choses).

Pour le grade ssl labs, je pense plutôt le mettre si c'est du grade D ou F (en rouge). Le E n'est plus utilisé, le T je mets directement dans la 3eme liste, et je suis comme Qualys: je considère que le strict minimum est grade C (les grades A, A+, et A- étant mieux bien entendu).
D'ailleurs, Hugues, le sous-domaine a une bizarrerie en IPv4 selon ssl labs, ce qui ne change que peu le grade par rapport à IPv6 (A et A+).

Pour les liens, la 2eme liste me pose problème avec ceux qui délaissent le https tout en le conservant, parfois à l'absurdité comme PicturesCloud.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 321
  • Lyon & Paris
    • MilkyWan
Les hébergeurs d'images et le https
« Réponse #8 le: 28 décembre 2017 à 00:26:59 »
Ah tiens en effet, il envoie 2 headers HSTS (celui du Reverse Proxy et celui du serveur original). Vu que je l'active en global, c'est un peu compliqué à corriger... Merci !

turold

  • La fibre idéal
  • ******
  • Messages: 1 655
  • essai: mp réouverts, sauf à mes ignorés (15)
Les hébergeurs d'images et le https
« Réponse #9 le: 30 décembre 2017 à 00:22:28 »
Pour le grade ssl labs, je pense plutôt le mettre si c'est du grade D ou F (en rouge). Le E n'est plus utilisé, le T je mets directement dans la 3eme liste, et je suis comme Qualys: je considère que le strict minimum est grade C (les grades A, A+, et A- étant mieux bien entendu).
Voilà, ImageShack et imageshotel ont tout deux le grade [F].
Et ajout, en fin du 1er message, de ce que ce grade signifie dans la pratique.

Comme quoi, il y en a un qui se repose un peu trop sur sa réputation... Les deux ont aussi une vulnérabilité pour du grade C (et le 2eme un peu plus de choses encore).
Mais bon, grade C ou mieux, je ne mets pas.
Ici, un peu mieux que SSL Pulse, malgré cela: très grande majorité de A+/A/A-. Un peu de B/C/F.

J'ai vu un peu de grade T pour non-gestion dans le certificat TLS de la racine du domaine ou du www. Mais pas de souci si on reste sur le même url que le HTTP. Donc statu quo sur les listes.

turold

  • La fibre idéal
  • ******
  • Messages: 1 655
  • essai: mp réouverts, sauf à mes ignorés (15)
Les hébergeurs d'images et le https
« Réponse #10 le: 30 décembre 2017 à 02:09:04 »
Désolé pour le double message cette nuit, mais ajout de allo-image, flickr, imagesia, et xooimage.

vivien

  • Administrateur
  • *
  • Messages: 29 324
    • Twitter LaFibre.info
Les hébergeurs d'images et le https
« Réponse #11 le: 30 décembre 2017 à 20:22:48 »
Merci,

Je rajoute puu.sh qui semble ne plus exister.

J'ai vu des messages de Thibault avec des images manquantes pointant vers cet hébergeur.

 

Mobile View