La Fibre

Télécom => Réseau => reseau Protocoles réseaux sécurisés (https) => Discussion démarrée par: turold le 21 décembre 2017 à 21:58:39

Titre: Les hébergeurs d'images et le https
Posté par: turold le 21 décembre 2017 à 21:58:39
...
Titre: [en cours] les hébergeurs d'images et le https
Posté par: Hugues le 21 décembre 2017 à 22:22:17
Y'a aussi pix.milkywan.fr  :) ::)
Titre: [en cours] les hébergeurs d'images et le https
Posté par: turold le 21 décembre 2017 à 22:37:13
Y'a aussi pix.milkywan.fr  :) ::)
Lol, et la petite pub perso.^^

Bon, ajouté.
Mais je ne mettrai pas le mien.
Je suis déjà hors limite côté contrat. Je suis juste en zone de tolérance de mon hébergeur.

Après, je pourrai faire comme toi, mais sans l'option de durée illimitée. Mais bof, du coup.
Titre: [en cours] les hébergeurs d'images et le https
Posté par: Hugues le 21 décembre 2017 à 22:44:00
Si tu cherches un endroit où t'héberger, on peut en discuter :p
Titre: [en cours] les hébergeurs d'images et le https
Posté par: turold le 22 décembre 2017 à 23:05:52
Mise à jour du premier tiers de la liste (par ordre alphabétique, pas de jaloux^^).
Et ajout de image-heberg.
Titre: [en cours] les hébergeurs d'images et le https
Posté par: turold le 23 décembre 2017 à 04:06:30
Intéressant.

Le mixed content de image-heberg montre un désaccord entre Firefox et Chrome:
- Firefox: tout va bien dans le meilleur des mondes. Ne vérifie que l'affichage pour cela.
- Chrome: https sans couleur particulière, avec mention de mixed content. Mais au détail console:
Citer
Mixed Content: The page at 'https://www.image-heberg.fr/' was loaded over a secure connection, but contains a form which targets an insecure endpoint 'http://www.image-heberg.fr/upload.php'. This endpoint should be made available over a secure connection.
Le formulaire d'upload pointe en HTTP.

Pour le cas de Héberger-Image. Très classique, une image est en HTTP.

Dans ces 2 sites, cela sent un oubli. Mais SSL Labs mettra F au 1er (grade A actuellement), et C au 2eme (déjà grade C pour une autre raison et risque même le grade T en septembre prochain), courant 2018.
Titre: Les hébergeurs d'images et le https
Posté par: turold le 25 décembre 2017 à 00:04:59
Salut,

Voilà, tout est traité au niveau des listes!

Ajout de Hiboox, car il a été utilisé, malgré qu'il est en train de progressivement fermé.

Autres modifications:
- mise en gras des titres de liste
- mise en vert foncé du HTTPS only (j'hésite fortement pour une couleur de la liste HTTP/HTTPS)
- mise en italique des remarques (positives comme négatives) qui pourraient changer le site de liste... si c'était mieux géré vis à vis du HTTPS, ou contenu mixte.

J'ai AdBlock Plus d'activé pour presque tous les sites. Je repasserai les 2 premières listes pour voir si d'autres sites que Servimg ont des pubs HTTP sur HTTPS. Il était déjà en liste blanche de l'extension, et pas pensé avant pour les autres sites.

Réflexion:
- mettre le grade ssl labs? J'ai déjà viré les cas du grade T, car les navigateurs sont trop dissuasifs pour que les gens accèdent à un tel HTTPS. Pour le reste, je ne regarde que les sites... qui sont souvent pas sur le même serveur physique que les images. Donc pas obligatoirement la même config HTTPS... Et un grade est susceptible d'évoluer, soit indépendamment du serveur soit par un changement de config sur le serveur.
- mettre les liens (HTTPS en priorité si dispo) des sites?
- pour le contenu mixte, préciser ce qui est en HTTP, au moins pour la page d'accueil?
Titre: Les hébergeurs d'images et le https
Posté par: turold le 27 décembre 2017 à 23:21:47
J'ai AdBlock Plus d'activé pour presque tous les sites. Je repasserai les 2 premières listes pour voir si d'autres sites que Servimg ont des pubs HTTP sur HTTPS. Il était déjà en liste blanche de l'extension, et pas pensé avant pour les autres sites.
Voilà:
- HostingPics (parfois du script HTTP sur le site HTTPS quand on désactive AdBlock Plus)
Ce qui m'a amené aussi à mieux regarder le scripting sur le suivant:
- PicturesCloud (contenu HTTP, pas de fonctionnalité par défaut car tous les scripts sont en HTTP, et pas de mise en page sur le site HTTPS!?!)

Bref, le contenu mixte sont surtout des oublis, ou une sorte de non-priorité du HTTPS. Mais bon, s'agissant des scripts (pubs ou pas), c'est bloqué par défaut par les navigateurs pas trop vieux...

J'ai aussi précisé que la 3eme liste pouvait aussi être un gros problème de certificat TLS (j'ai vu du sous-domaine pas valide, et peut y avoir du tiers pas de confiance, une validité expirée, et ce genre de choses).

Pour le grade ssl labs, je pense plutôt le mettre si c'est du grade D ou F (en rouge). Le E n'est plus utilisé, le T je mets directement dans la 3eme liste, et je suis comme Qualys: je considère que le strict minimum est grade C (les grades A, A+, et A- étant mieux bien entendu).
D'ailleurs, Hugues, le sous-domaine a une bizarrerie en IPv4 selon ssl labs, ce qui ne change que peu le grade par rapport à IPv6 (A et A+).

Pour les liens, la 2eme liste me pose problème avec ceux qui délaissent le https tout en le conservant, parfois à l'absurdité comme PicturesCloud.
Titre: Les hébergeurs d'images et le https
Posté par: Hugues le 28 décembre 2017 à 00:26:59
Ah tiens en effet, il envoie 2 headers HSTS (celui du Reverse Proxy et celui du serveur original). Vu que je l'active en global, c'est un peu compliqué à corriger... Merci !
Titre: Les hébergeurs d'images et le https
Posté par: turold le 30 décembre 2017 à 00:22:28
Pour le grade ssl labs, je pense plutôt le mettre si c'est du grade D ou F (en rouge). Le E n'est plus utilisé, le T je mets directement dans la 3eme liste, et je suis comme Qualys: je considère que le strict minimum est grade C (les grades A, A+, et A- étant mieux bien entendu).
Voilà, ImageShack et imageshotel ont tout deux le grade [F].
Et ajout, en fin du 1er message, de ce que ce grade signifie dans la pratique.

Comme quoi, il y en a un qui se repose un peu trop sur sa réputation... Les deux ont aussi une vulnérabilité pour du grade C (et le 2eme un peu plus de choses encore).
Mais bon, grade C ou mieux, je ne mets pas.
Ici, un peu mieux que SSL Pulse, malgré cela: très grande majorité de A+/A/A-. Un peu de B/C/F.

J'ai vu un peu de grade T pour non-gestion dans le certificat TLS de la racine du domaine ou du www. Mais pas de souci si on reste sur le même url que le HTTP. Donc statu quo sur les listes.
Titre: Les hébergeurs d'images et le https
Posté par: turold le 30 décembre 2017 à 02:09:04
Désolé pour le double message cette nuit, mais ajout de allo-image, flickr, imagesia, et xooimage.
Titre: Les hébergeurs d'images et le https
Posté par: vivien le 30 décembre 2017 à 20:22:48
Merci,

Je rajoute puu.sh qui semble ne plus exister.

J'ai vu des messages de Thibault avec des images manquantes pointant vers cet hébergeur.
Titre: Les hébergeurs d'images et le https
Posté par: turold le 31 décembre 2017 à 03:47:42
Je rajoute puu.sh qui semble ne plus exister.

J'ai vu des messages de Thibault avec des images manquantes pointant vers cet hébergeur.
J'ai repéré ce domaine, hier, dans un autre forum. Sur le moment, j'avais remis l'enquête à plus tard.
J'avais cru, comme toi, vu comment c'est présenté, soit à un service qui n'existe plus (mais des images sont encore présentes! :o), soit à un espace perso comme je fais (ma page d'accueil du domaine est toute cassée en erreur MySQL et plus envie de maintenir ma vitrine^^).

Sauf que plusieurs personnes différentes ont l'air d'avoir encore des images (y compris dans ce forum). Louche pour les 2 précédentes hypothèses...

Donc après enquête, bingo, j'ai trouvé!^^

=> Ajout de puush.me (images sur puu.sh).
L'hébergeur d'images est vivant, en HTTPS only.

Edit: vivant mais sans nouveaux utilisateurs. Paypal les a pris comme service de partage de fichiers et a donc désactivé leur compte! :(
Titre: Les hébergeurs d'images et le https
Posté par: turold le 31 décembre 2017 à 17:49:18
Petit ajout d'un petit graphique, un peu rétro (avec les moyens du balisage interne au forum^^), à la fin du 1er message.
Le but de ce sujet, à la base, est de voir où on en est par rapport à l'objectif interne de 90%.
Avec un graphique, c'est mieux. Et j'ai mis les chiffres dedans. Pour tout les goûts. Sauf les goûts visuels. :P

Et l'orange est une recommandation de Qualys. Et c'est vrai que c'est plus visible que le jaune. Tandis que le bleu n'est pas très universel (très bruxellois-UE, même).
Mais comme je sais que cela ne fera pas l'unanimité, pas de couleur sur la 2ème liste détaillée. Orange s'est un peu mettre de côté des sites qui font quand même des efforts en HTTPS.


L'autre but est de mettre régulièrement à jour tout ça.
Je pense plutôt tout les 6 à 12 mois. Sauf date prévisible comme courant septembre prochain (le 19 je crois) qui sera charnière dans le HTTPS côté certificat et tiers de confiance. Et sauf requêtes pour des mises à jour pour certains hébergeurs d'images (admins qui veulent faire connaitre leur service ou améliorer leur réputation HTTPS au plus vite, utilisateurs qui ne voient pas leur hébergeur d'images préféré, etc).
Titre: Les hébergeurs d'images et le https
Posté par: Marin le 31 décembre 2017 à 18:16:40
Merci,

Je rajoute puu.sh qui semble ne plus exister.

Ils existent toujours (https://puush.me/) et il fut un temps où c'était un très bon service, mais du jour au lendemain, ils ont décidé que les images des comptes gratuits allaient se mettre à expirer après 30 jours au lieu de jamais (rétroactivement).

Dans ma tête c'était récent mais ça date de 2013 : https://www.archiveteam.org/index.php/Puu.sh

Pour le grade ssl labs, je pense plutôt le mettre si c'est du grade D ou F (en rouge). Le E n'est plus utilisé, le T je mets directement dans la 3eme liste, et je suis comme Qualys: je considère que le strict minimum est grade C (les grades A, A+, et A- étant mieux bien entendu).

Moi je pense qu'il ne faut pas prendre trop aux sérieux ces notations (que ce soit celles qui disent que ton site est bien HTTPS, bien optimisé pour les moteurs de recherche, etc.). L'échelle utilisée par Qualys met en exergue des attaques très théoriques, qui ont peu d'application pratique et encore moins sur un site comme Lafibre.info.
Titre: Les hébergeurs d'images et le https
Posté par: turold le 31 décembre 2017 à 18:34:10
Ils existent toujours (https://puush.me/) et il fut un temps où c'était un très bon service, mais du jour au lendemain, ils ont décidé que les images des comptes gratuits allaient se mettre à expirer après 30 jours au lieu de jamais (rétroactivement).

Dans ma tête c'était récent mais ça date de 2013 : https://www.archiveteam.org/index.php/Puu.sh
Officiellement à cause de la désactivation du compte Paypal (mais il y a d'autres moyens de paiement dans la vie...), ils ont fermés toutes ouverture de compte.
Donc depuis, c'est en roue libre, érosion d'utilisateurs, ce que l'on veut.
Mais bon, pas de date de fin annoncée. Sauf que les conditions d'utilisations, depuis 2015, disent que le tout peut complètement fermé... sans préavis.
Bref, cela vivote...

Moi je pense qu'il ne faut pas prendre trop aux sérieux ces notations (que ce soit celles qui disent que ton site est bien HTTPS, bien optimisé pour les moteurs de recherche, etc.). L'échelle utilisée par Qualys met en exergue des attaques très théoriques, qui ont peu d'application pratique et encore moins sur un site comme Lafibre.info.
Je suis sur un mutualisé gradé B... et je le vis bien. :P
Juste un peu jaloux que le site de mon hébergeur soit mieux gradé. Cette différentiation est bizarre, mais assumée par le support.

Les grades F que j'ai mis sont pour cette faille: OpenSSL Padding Oracle vulnerability (CVE-2016-2107) (https://blog.cloudflare.com/yet-another-padding-oracle-in-openssl-cbc-ciphersuites/).
Titre: Les hébergeurs d'images et le https
Posté par: turold le 12 janvier 2018 à 22:19:30
Bon, Vivien, petite entorse de ma part (pour te faire gagner un peu de temps ;D).
Suite à l'annonce de HostingPics, j'ai mis à jour l'info sur eux.
J'en ai profité, pour savoir où on en est, de mettre des infos datées en fin de 1er message. Le but est de recommencer ce genre d'infos de 0 à chaque grosse actualisation sur l'ensemble.

Je te laisse l'autre sujet (https://lafibre.info/forum/tuto-comment-poster-une-copie-decran-photo-sur-le-forum/msg511949/#msg511949), mais je ne pense pas que tu vas scripter un rapatriement auto des images (enfin peut être)... et encore moins le faire manuellement.^^

Et j'en fais un message publique pour dire que pour HostingPics, c'est pris en compte côté listing. Vivien verra s'il fait quelque chose sur l'ensemble du forum. Mais dans ce cas, il faut aussi gérer vis à vis de Hiboox... Même si ce dernier pourrait être géré vu que c'est que du HTTP (politique de Vivien (https://lafibre.info/forum/message-photo/msg501992/#msg501992)). Mais bon, c'est tout de même du boulot en rétroactif.
Titre: Les hébergeurs d'images et le https
Posté par: turold le 25 septembre 2018 à 02:45:59
Sur demande privée, j'ai ajouté  zupmage.eu, et surtout turbopix.fr, le 1er en tant que redirection vers le second.

Avant cette demande, je pensais attendre janvier prochain pour une mise à jour globale. Mais vu que les plus actifs travaillent de plus en plus en HTTPS only, et que je n'ai pas envie d'être en réaction a d’éventuelles demandes de mises à jour (pour l'existant), il y aura donc une mise à jour globale dans les prochaines semaines.
Titre: Les hébergeurs d'images et le https
Posté par: turold le 11 novembre 2018 à 05:21:32
Bon, j'ai pris du retard, mais j'ai commencé de tout revérifier depuis le 2 de ce mois-ci.

2 alertes très importantes sur le HTTPS pour les images:
- le site de HostingPics n'est plus accessible en HTTPS (time out en navigateur, erreur d'accès pour SSL labs). Donc si une image n'est plus accessible en HTTPS, c'est soit la continuation de la fin du service... soit que c'est "juste" un problème de HTTPS...
- Le site de Héberger-Image n'est plus accessible en HTTPS (un certificat est présent avec 2 autres domaines). N'accepte plus de nouvelles images depuis 2017, donc idem: si une image n'est plus accessible en HTTPS, c'est soit la continuation de la fin du service... soit que c'est "juste" un problème de HTTPS...
Titre: Les hébergeurs d'images et le https
Posté par: turold le 23 novembre 2018 à 03:25:42
Salut,

Désolé pour le planning de cette décision (franchement j'aurai déjà dû le faire depuis des mois comme le sait par mp Vivien), et pour la tournure de ce sujet.
Mais j'ai décidé d'arrêter les situations bizarres vis à vis de moi.

Donc comme c'était le seul sujet où j'avais mis, à ce jour, des infos actualisées, ou très récentes, j'ai déjà supprimé le contenu du 1er message.

Le reste, même si cela reste, c'est plus du tout actualisé de ma part.

Autres décisions, pour arrêter l'hypocrisie:
- j'arrête le suivi de ce sujet
- mp fermées sauf pour Vivien

Suite à:
- propos odieux, ou irrespectueux, et déformant la réalité de mes propos envers moi de l'équipe de modération (sic) et de certains autres membres de ce forum
- Vivien qui fait la politique de l'autruche en me disant de continuer de contribuer, tout en pensant que tout le monde est gentil avec moi
Donc bref, pas de temps à perdre dans des situations comme ça.
Quen je partage quelque chose, ce n'est pas pour me faire cracher dessus.

Et au cas où, car plus aucun coup bas ne m'étonne des modos d'ici, je copie ce message par mp à Vivien.

Adieu.
Titre: Les hébergeurs d'images et le https
Posté par: vivien le 23 novembre 2018 à 13:26:14
Je pense qu'il faut toujours savoir prendre un peu de recul.

Il y a toujours des personnes qui n’apprécie pas tel ou tel message, mais cela ne dois pas être une raison pour tout plaquer !

C'est comme dans la vraie vie: c'est pas parce que son conjoint a des défaut qu'on le/la quitte.

Exemple: c'est pas parce que je reçois le message ci-dessous que j’arrête tout
Citer
Voilà ou çà en est à Quimper, pas besoin d'aller sur ton site pourri pour savoir çà, j'ai autre chose à foutre que de regarder des photos de camions sur un vulgaire forum aceboard trollé par des teckos orange (bonjour l'impartialité ( et l'honnêteté) ou à se fier à des cartes qui ont entre 6 mois et 3 ans de retard, (c'est la Sogetrel qui me l'a confirmé) 😂😂

On va arrêter là, je te laisse dans ton mode pourri, de gros fils de putain et je suis modeste dans mes propos, bye !

Je ne comprends pas non plus la politique de suppression d'un contenu (1er message) pour se venger de personne avec qui on est en conflit.
La solution sera probablement d'effacer ce sujet pour en créer un nouveau sur Les hébergeurs d'images et le https.
Titre: Les hébergeurs d'images et le https
Posté par: Marco POLO le 23 novembre 2018 à 15:16:46
...
- j'arrête le suivi de ce sujet...
Quel dommage: tous ces sites se révélaient bien utiles.  (https://lafibre.info/images/smileys/Triste/triste_16.gif)
Titre: Les hébergeurs d'images et le https
Posté par: turold le 23 novembre 2018 à 18:16:48
Bon, je suis ici, par un mp de Vivien (drôle de procédé que de répéter en public ce qui a été dit depuis longtemps par mp, mais avec un ajout de taille, je vais y revenir).
Quel dommage: tous ces sites se révélaient bien utiles.  (https://lafibre.info/images/smileys/Triste/triste_16.gif)
+1
C'est aussi mon ressentiment, le plus profond.
Toutes les décisions que j'ai prises hier (enfin, la nuit), c'est du pur dernier recours... et aucune ne me donne de joie, bien au contraire.
Tristesse, colère, sentiment de gâchis, et même de la pitié pour ce forum. Voilà mes sentiments sur cette affaire.

Tous les détails, si Vivien le souhaite, je les déballerai par mp (déjà commencé aujourd'hui).
Car du recul et de la hauteur, j'en ai même à en revendre pour le conseiller en la matière! Admin de plusieurs forums, modo de plusieurs forums, membre actif d'au moins de dizaines de forums, je sais ce que c'est de gérer les autres, surtout comme modo/admin. Chose que je ne vois pas dans ce forum... comme dans quelques autres forums. À part de traiter de tout et de n'importe quoi les membres avec qui on n'est pas d'accord (belle mentalité de modo, en passant, et c'est une parenthèse ironique au cas où).

Bon, donc en gros, publiquement, je vais réagir sur un aspect de Vivien, qui aurait pu même faire que chronologiquement, ce sujet n'aurait même pas existé par moi.
En effet, par mp, depuis le 1er conflit que j'ai eu, Vivien ne m'a jamais répondu ainsi:
Je ne comprends pas
Bingo!
Découverte de pourquoi l'inaction de Vivien en cas de conflits entre 2 personnes dans le forum (incluant un modo ou pas, d'ailleurs): l'incompréhension que cela ne se réglera pas par la patience des 2 partis sans aucune intervention tierce.
Avec un ancien mp, il m'avait déjà pourtant dit quelque chose de son passé IRL, qui aurait dû me faire penser à une conclusion d'inaction par incompréhension, mais bon, mon côté gentil d’attendre comme un con sans doute...
C'était avant la création de ce sujet. Si à ce moment, il m’écrivait son incompréhension, j'aurai par expérience arrêté mes contributions.

Belle perte de temps pour moi, et un sujet qui fini comme une prise d'otage* de regroupement de connaissances (* désolé pour cette expression mal venue depuis 2015 en France, mauvaise habitude de ma part pas encore remplacée).


Voilà, si d'autres trouvent ma décision dommage, sans me traiter de tout et de n'importe quoi, je vais peut être encore un peu intervenir ici, pour expliquer, un peu (le reste par mp avec Vivien s'il le souhaite, pas de temps à perdre si c'est pour un dialogue de sourds par contre).


PS: aucune confiance dans les modo de ce forum, comme d'hab, donc copie par mp à Vivien et à l'intéressé Marco POLO.
Titre: Les hébergeurs d'images et le https
Posté par: Marco POLO le 23 novembre 2018 à 23:20:46
Dommage que l'auteur supposé de la Chanson de Roland nous quitte dans de telles conditions.  (https://lafibre.info/images/smileys/@GregLand/ad.gif)
Titre: Les hébergeurs d'images et le https
Posté par: Mister59340 le 24 novembre 2018 à 18:07:52
Dommage que tu quittes comme cela et que qu'on ait perdu un sujet fort interessant ma foi :/