La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: buddy le 17 avril 2015 à 20:00:35
-
Bonjour,
j'ai le cadenas barré sous chrome : (PC W7 pro 64 bits + chrome à jour )
idem sous firefox
je ne sais pas depuis quand c'est comme çà.
-
heu pour moi c'est tout vert !!
-
Toi tu regardes https://lafibre.info/evolution/certificat-tls/48 alors que buddy a pris https://lafibre.info/evolution/certificat-tls/ sur FF.
-
je n'ai l'erreur que sur certaines pages ... c'est étonnant ...
je ne l'ai pas sur les 3 premières pages du sujet, mais à partir de la 4eme page, j'ai le cadenas barré ... (un "cache" ? aurais-je consulter ces pages les quelques secondes où vivien faisait des tests du HTTP STS ?
-
Attention à ne pas confondre l'erreur crypto obsolète qui dépend du navigateur et le warning contenu mixte qui dépend de la page.
-
buddy, j'ai déplacé ton message ici, car j'ai activé ce matin à 6h30 l'OCSP Stapling.
C'est l'unique modification réalisée ce matin, afin de pouvoir observer d'éventuelles régressions.
J'ai fait des tests :
- Chrome 42 sous Windows 7
- Chrome 41 sous Windows 8.1
- Chrome 42 sous Windows 8.1
- Chrome 42 sous Ubuntu 14.10
- Chromium 41 sous Ubuntu 14.10
- Firefox 37.0.1 sous Windows 7
- Firefox 37.0.1 sous Windows 8.1
- Firefox 37.0.1 sous Windows Vista
- Firefox 37.0.1 sous Ubuntu 14.10
- Internet Explorer 11 sous Windows 8.1
- Internet Explorer 8 sous Windows 7
Et je n'ai rencontré aucun problème.
Arrives-tu as reproduire le cas où https est barré avec une barre rouge ?
-
Arrive-tu a reproduire le cas où https est barré avec une barre rouge ?
oui .. 99% du forum ce soir ... la seule page où j'ai le cadenas vert c'est https://lafibre.info/evolution/certificat-tls/ (page 1, 2 et 3 du sujet) les pages 4 et 5 cadenas barré ...
j'ai chrome Version 42.0.2311.90 m
win 7 Pro il a tout mis à jour hier soir. Je l'ai redémarré tout à l'heure
sur la page d'accueil :
-
Les pages 1, 2 et 3 de https://lafibre.info/evolution/certificat-tls/ ont la particularité d'avoir des copie d'écran hébergés sur des sites tiers non https. Ce n'est pas un problème de sécurité et j'essaye d'éviter ces cas autant que possible.
Les pages 4 et 5 de https://lafibre.info/evolution/certificat-tls/ n'ont pas de données hors du site et donc pas de problème de sécurité donc, je suis un peu étonné.
Si tu essayes de visualiser cette image https://lafibre.info/images/logo/lafibre.png
Cela donne quoi ? La pas de html, il y a uniquement l'image.
D'autres utilisateurs de Chrome pourraient dire comment est le cadenas, quand ils sont sur la page https://lafibre.info ?
-
Les pages 1, 2 et 3 de https://lafibre.info/evolution/certificat-tls/ ont la particularité d'avoir des copie d'écran hébergés sur des sites tiers non https. Ce n'est pas un problème de sécurité et j'essaye d'éviter ces cas autant que possible.
Ce sont pourtant les 3 seules pages où j'ai le "bon cadenas vert".
Si tu essayes de visualiser cette image https://lafibre.info/images/logo/lafibre.png
cadenas barré ...
-
Quel est ton anti-virus ?
Serait-il possible de faire un test en mode sans échec avec prise en charge réseau ?
Ci-dessous les copies d'écran de SSL Labs (https://www.ssllabs.com/ssltest/analyze.html?d=lafibre.info) et SSL Decoder (https://tls.so/?host=lafibre.info) qui confirment que tout est conforme.
C'est pour cela que je pense à un logiciel qui joue avec SSL sur ton PC et notamment à l'anti-virus...
(https://lafibre.info/images/ssl/201504_lafibre_ssl_labs.png)
(https://lafibre.info/images/ssl/201504_lafibre_ssl_decoder.png)
-
Je suis actuellement en sans échec (mon dieu que c'est moche j'avais oublié ...) et c'est toujours pareil cadenas barré ...
Pour "l'antivirus", MSE.
-
Microsoft Security Essentials ne joue pas avec le trafic chiffré, pas de souci.
Qui aurait une idée ?
-
tu veux que je fasse encore 1 ou 2 tests en sans échec ?
sinon je reviens en mode normal ;)
-
Repasse en mode normal, c'est une fausse piste.
Tu pourrais tester d'autres sites https ?
- https://iperf.fr
- https://testdebit.info/images/menu_neutralite.png
- https://www.k-net.fr
-
Iperf et K-net OK.
testdebit.info non ...
je n'ai aucun soucis avec plein d'autres sites en https ( gmail, mon wemail proffessionnel, ma banque et etc .. )
-
D'autres utilisateurs de Chrome pourraient dire comment est le cadenas, quand ils sont sur la page https://lafibre.info ?
idem:
(http://i.imgur.com/swtGz13.png?1)
C'est pas un probleme lié a ca: http://www.certificate-transparency.org/ qui a été activé sur Chrome depuis le 1er janvier 2015 ?
-
Je confirme, j'ai la même chose.
Mais il faut relancer Chrome pour le voir. (Je relance un navigateur uniquement quand il rame parce que trop d'onglets ouverts.)
-
Trouvé!
Version de Google Chrome :
Version 42.0.2311.90 m
Certificat de lafibre.info :
expiration vendredi 24 mars 2017 18:34:33
2ème certificat dans la chaîne affichée par Google Chrome :
CN = StartCom Class 2 Primary Intermediate Server CA
OU = Secure Digital Certificate Signing
O = StartCom Ltd.
C = IL
algo de signature : sha1RSA
expire : mardi 24 octobre 2017 22:57:09
Décision de Google :
Chrome 41 (Branch point in Q1 2015)
Sites with end-entity certificates that expire between 1 January 2016 and 31 December 2016 (inclusive), and which include a SHA-1-based signature as part of the certificate chain, will be treated as “secure, but with minor errors”.
Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “affirmatively insecure”. Subresources from such domain will be treated as “active mixed content”.
The current visual display for “affirmatively insecure” is a lock with a red X, and a red strike-through text treatment in the URL scheme.
https://googleonlinesecurity.blogspot.fr/2014/09/gradually-sunsetting-sha-1.html
-
pourtant https://1.testdebit.info/fichiers/image_test/image_test_qualite_100.jpg est ok .
exp du certificat 25/01/2017
avec la même "suite"
2ème certificat dans la chaîne affichée par Google Chrome :
CN = StartCom Class 2 Primary Intermediate Server CA
OU = Secure Digital Certificate Signing
O = StartCom Ltd.
C = IL
algo de signature : sha1RSA
expire : mardi 24 octobre 2017 22:57:09
Google aurait-il mis 31/01/2017 comme deadline ? au lieu du 01/01/2017
EDIT : pourtant 2.testdebit.info a aussi un certificat qui expire le 25/01/2017 mais pourtant c'est cadenas barré ...
-
La date d’expiration serait trop éloignée pour Chrome ?
Pourquoi je n'ai pas de souci avec mon Chrome 42 sous Windows 8.1 ?
(https://lafibre.info/images/ssl/201504_chrome_42_ssl_info_lafibre.png)
-
Tu as l'air d'être dans les cas 1 et 2 de: https://forum.startcom.org/viewtopic.php?p=21511#p21511
cas 1: 'public audit record': c'est récent (mars 2015) et il faut que Startcom trouve une solution
On en est au début.
Google ne va l'exiger que pour les certificats EV, en attendant que ça se généralise.
La transparence est une bonne chose, évidemment.
-
aucune idée ... d'ailleurs tu as mis les mêmes certificat sur les 4 serveurs 1.testdebit.info non ?
et pourtant 1, 3 et 4 sont OK alors que le n° 2 est pas OK ...
-
C'est intéressant la différence entre :
- https://1.testdebit.info/fichiers/image_test/image_test_qualite_100.jpg
- https://2.testdebit.info/fichiers/image_test/image_test_qualite_100.jpg
La seule différence, c'est que la clé publique "StartCom Class 2 Primary Intermediate Server CA" a été récupérée après pour le serveur 2 (par contre le certificat pour testdebit.info est le même).
Demain, je ne trouve pas de solution, je mettrais la clé de 1.testdebit.info sur les autres serveurs.
-
StartCom Class 2 Primary Intermediate Server CA
A gauche : Sur le serveur https://1.testdebit.info/fichiers/image_test/image_test_qualite_100.jpg
A droite : Sur le serveur https://2.testdebit.info/fichiers/image_test/image_test_qualite_100.jpg
(https://lafibre.info/images/ssl/201504_startcom_class2_srv1.png)(https://lafibre.info/images/ssl/201504_startcom_class2_srv2.png)
Pourquoi la nouvelle version pose problème aléatoirement ? La date de 2022 ?
(pas de souci de mon coté avec Chrome sous Windows 8.1)
-
Je confirme qu'un downgrade sur la version précédente (Version 41.0.2272.118 m) corrige le problème, donc c'est bien l'upgrade automatique qui a changé ce comportement. >:(
-
le certificat "StartCom Class 2 Primary Intermediate Server CA" de lafibre.info est 1a et sha1RSA et il posè problème aussi pour moi ...
-
Beaucoup de mécontents de la release 42 :
https://googlechromereleases.blogspot.fr/2015/04/stable-channel-update_14.html
-
A gauche : Sur le serveur https://1.testdebit.info/fichiers/image_test/image_test_qualite_100.jpg
A droite : Sur le serveur https://2.testdebit.info/fichiers/image_test/image_test_qualite_100.jpg
si tu regardes le certificat parent dans le chemin (3eme onglet). Dans un cas c'est un sha-1 et dans l'autre un sha-2 bien que le certif final soit sha-2. sha-1 dans le path (sauf racine) --> chrome 42 met du rouge
conclusion: y'a un bug/feature de Windows 7 (et pas Windows 8?) qui fait qu'il n'utilise pas le bon certif intermédiare ?
c'est discuté ici --> https://code.google.com/p/chromium/issues/detail?id=473105
Ca n'est pas aléatoire, ca dépent de la base de certifs de Windows.
J'ai lancé "certmgr.msc" et supprimé tout les certifs de Startcom dans "autorités de certifs intermédiaires": tout passe en vert (lafibre.info, 1.testdebit.info et 2.testdebit.info).
Mais le mieux est de corriger le certif aupres du CA.
-
Le certificat disponible chez Startsl est toujours celui avec le numéro de série 1c (qui pose problème)
J'ai remplacé celui de lafibre.info qui était en version 1a par celui de 1.testdebit.info qui est en version 1b.
Cela fonctionne mieux ?
-
Dans la première page ce sujet avec chrome 41 sur android 4 .4. 4. J'ai cadena jaune. Chrome dit: connexion privée mais d'autres personne connecté au reseau peuvent modifier l'apparence de la page.
Bref logique Avec les images.
En mode écriture de commentaire cadena vert.
-
De mon coté, Chrome 41.0.2272 sous Android 5.0.2 => Aucun soucis (cadenas vert systématiquement)
-
A gauche : Sur le serveur https://1.testdebit.info/fichiers/image_test/image_test_qualite_100.jpg
A droite : Sur le serveur https://2.testdebit.info/fichiers/image_test/image_test_qualite_100.jpg
si tu regardes le certificat parent dans le chemin (3eme onglet). Dans un cas c'est un sha-1 et dans l'autre un sha-2 bien que le certif final soit sha-2. sha-1 dans le path (sauf racine) --> chrome 42 met du rouge
Je vois du SHA-256 partout. Tu pourrais me faire une copie d'écran pour voir qu'on parle bien la même chose ?
Pour lafibre.info, j'ai remplacé avec le certificat intermédiaire avec celui donné sur https://shaaaaaaaaaaaaa.com/
=> https://www.startssl.com/certs/class2/sha2/pem/sub.class2.server.sha2.ca.pem
Ce qui est étonnant , c'est que sur le site start-ssl, ce certificat n'est pas proposé.
Ils proposent :
- StartCom Root CA (https://www.startssl.com/certs/ca.pem) (PEM encoded)
- StartCom Root CA (https://www.startssl.com/certs/ca.cer) (DER encoded)
- Server Certificate Bundle with CRLs (https://www.startssl.com/certs/ca-bundle.pem) (PEM encoded)
- Class 1 Intermediate Server CA (https://www.startssl.com/certs/sub.class1.server.ca.pem)
- Class 2 Intermediate Server CA (https://www.startssl.com/certs/sub.class2.server.ca.pem)
- Class 3 Intermediate Server CA (https://www.startssl.com/certs/sub.class3.server.ca.pem)
- Extended Validation Server CA (https://www.startssl.com/certs/sub.class4.server.ca.pem)
- Class 1 Intermediate Client CA (https://www.startssl.com/certs/sub.class1.client.ca.pem)
- Class 2 Intermediate Client CA (https://www.startssl.com/certs/sub.class2.client.ca.pem)
- Class 3 Intermediate Client CA (https://www.startssl.com/certs/sub.class3.client.ca.pem)
- Class 2 Code Signing CA (https://www.startssl.com/certs/sub.class2.code.ca.pem)
- Class 3 Code Signing CA (https://www.startssl.com/certs/sub.class3.code.ca.pem)
-
Je vois du SHA-256 partout. Tu pourrais me faire une copie d'écran pour voir qu'on parle bien la même chose ?
3eme onglet puis tu remontes d'un cran:
(http://i.imgur.com/1VURggk.png?1)
puis clique sur "afficher le certificat".
moi aussi je vois sha256 depuis que j'ai viré les certifs intermediares sha-1 de mon Windows (avec CertMgr.msc). mais hier je voyais "sha1" et Chrome me mettais du rouge. Parce que comme expliqué la: https://code.google.com/p/chromium/issues/detail?id=473105, Chrome demande a Windows qui lui retourne en priorité les certifs existants dans sa base locale.
-
Tu veux dire qu'il n'utilise pas en priorité les certificats envoyés par le serveur ?
-
Tu veux dire qu'il n'utilise pas en priorité les certificats envoyés par le serveur ?
c'est l'API CryptoAPI de MS qui fonctionne comme ca.
-
Youpi MS.^^
Je commence à comprendre pourquoi Firefox ne l'utilise pas.
-
si tu regardes le certificat parent dans le chemin (3eme onglet). Dans un cas c'est un sha-1 et dans l'autre un sha-2 bien que le certif final soit sha-2. sha-1 dans le path (sauf racine) --> chrome 42 met du rouge
conclusion: y'a un bug/feature de Windows 7 (et pas Windows 8?) qui fait qu'il n'utilise pas le bon certif intermédiare ?
c'est discuté ici --> https://code.google.com/p/chromium/issues/detail?id=473105
Ca n'est pas aléatoire, ca dépent de la base de certifs de Windows.
J'ai lancé "certmgr.msc" et supprimé tout les certifs de Startcom dans "autorités de certifs intermédiaires": tout passe en vert (lafibre.info, 1.testdebit.info et 2.testdebit.info).
Mais le mieux est de corriger le certif aupres du CA.
Pour le moment, je passe par Bitdefender. Mais par curiosité, je suis aller voir dans le service Windows... Je n'ai que du SHA1 avec Startcom !
-
Je laisse mon Iron en v40.
Donc là je suis en train de tester Chrome portable 42, et toujours avec Bitdefender.
Je suis comme Buddy, et même pire. Peut être normal si tu as changé quelque chose aujourd'hui.
Mais bon, cette v42, entre faire peur pour cause de SHA1, et virer par défaut tous les plugins NPAPI, ce n'est pas une bonne version en soit.
Mini-HS:La TV d'Orange par navigateur reste en SilverLight... et toujours pas de version PPAPI en vue pour ce plugin. À partir de septembre (plus aucun NPAPI même par paramètre flags), ça va être un changement de navigateur, et pas chrome/opera/iron.
/finHS
Pas de souci avec Firefox 37.0.1/Bitdefender.
-
Cela fonctionne mieux ?
non, la raison a été surement donnée plus bas.
-
J'ai le meme soucis sous windows 8.1 au cas ou ca aide
-
La procédure pour nettoyer son compte Windows des certificats "sh-1" de Startcom:
touche Windows+R (ou démarrer puis executer).
taper certmgr.msc puis entrée
le gestionnaire de certificats s'affiche:
(http://i.imgur.com/zwJkUKz.png?1)
Aller dans "autorités de certification intermédiaires" puis 'certificats'
En partie droite la liste des certificats existants dans la machine pour cette utilisateur s'affichent par ordre alphabétique.
Chercher les certificats commençant par "Startcom ..." et supprimer les (bouton X rouge ou menu bouton droit/supprimer).
Attendre un moment ou redémarrer la machine. Quitter et relancer Chrome, l'icone verte devrait apparaître pour lafibre.info.
Pour s'assurer qu'il n'y a pas de certificat au niveau 'machine' c'est la même procédure mais avec la liste des certificats de la machine.
Pour ce faire, il faut lancer 'mmc' (Windows+R et saisir 'mmc' puis Entrée).
La console apparaît vide. Dans le menu fichier, sélectionner: "ajouter/supprimer un composant...".
Dans la liste qui apparait: sélectionner 'certificats' puis le bouton 'ajouter'. Un popup apparait avec 3 choix. Selectionner le 3eme choix: "un compte d'ordinateur'. Dans la fenetre suivante: "l'ordinateur local" et terminer.
La liste des certificats dans la machine va s'afficher. Effacer ceux de Startcom dans "autorités de certification intermédiaires" si il y en a(et que la!).
-
Et pourquoi il y a une différence entre 1.testdebit.info et 2.testdebit.info ?
Dans les deux cas si Windows a son certificat en SH-1, cela devrait être http barré en rouge.
-
Et pourquoi il y a une différence entre 1.testdebit.info et 2.testdebit.info ?
Dans les deux cas si Windows a son certificat en SH-1, cela devrait être http barré en rouge.
il n'ont pas le même parent (le numero de serie diffère). Dans un cas Windows n'a pas le parent dans l'autre il l'a (c'est donc celui la qu'il faut supprimer). C'est pour ca que le mieux est mettre a jour tes certifs comme ca les gens n'auront pas nettoyer leur compte Windows.
-
La procédure pour nettoyer son compte Windows des certificats "sh-1" de Startcom:
touche Windows+R (ou démarrer puis executer).
taper certmgr.msc puis entrée
le gestionnaire de certificats s'affiche:
(http://i.imgur.com/zwJkUKz.png?1)
Aller dans "autorités de certification intermédiaires" puis 'certificats'
En partie droite la liste des certificats existants dans la machine pour cette utilisateur s'affichent par ordre alphabétique.
Chercher les certificats commençant par "Startcom ..." et supprimer les (bouton X rouge ou menu bouton droit/supprimer).
Attendre un moment
j'ai fait çà et tout est ok .
sauf https://2.testdebit.info/fichiers/image_test/image_test_qualite_100.jpg mais c'est normal non, c'est du SHA1 encore. pour le certif inter.
-
Ce qui est étonnant, c'est que c'est celui qui était à jour qui posait problème.
J’espère qu'ils vont en sortir un nouveau bientôt.
-
Je laisse mon Iron en v40.
Donc là je suis en train de tester Chrome portable 42, et toujours avec Bitdefender.
Je suis comme Buddy, et même pire. Peut être normal si tu as changé quelque chose aujourd'hui.
Mais bon, cette v42, entre faire peur pour cause de SHA1, et virer par défaut tous les plugins NPAPI, ce n'est pas une bonne version en soit.
Elle me casse les couilles cette version.
En plus elle a changé de format pour certains paramètres, donc je n'arrive même pas à revenir en 41 temporairement.
-
Cadenas vert sous Chromium 44 (build de développement depuis http://download-chromium.appspot.com/), pas de problème.
-
Il faut quand même que quelqu'un dise que la présence de ce genre de certificat signé après compression SHA-1 ne cause AUCUN souci de sécurité.
Tout cela n'est qu'une prise de contrôle d'équipe de Chromium, qui maintenant explique que sa merde N° 42 a bon gout!
-
on sait depuis 2005 que SHA-1 est cassé.
(https://www.schneier.com/blog/archives/2005/02/sha1_broken.html)
on sait que vers 2018 il tombera pour pas trop cher, voir même avant.
Son utilisation sur Internet est considéré comme obsolète depuis 2011 par le "CA/Browser Forum (https://cabforum.org/)", entité qui réuni les CA, dont Startcom, et les éditeurs de navigateur (Chrmoe, IE, Safari, FF,etc).
En septembre 2014 (https://googleonlinesecurity.blogspot.fr/2014/09/gradually-sunsetting-sha-1.html): Google annonce qu'ils vont progressivement arreter le support de SHA-1.
Les premiers phases seront juste visuelles et n'empecheront en rien le fonctionnement des sites:
(https://konklone.com/assets/images/blog/sha-1/chrome-warnings.png)
Ce plan a même été décalé d'une version puisque la phase 'rouge' arrive avec Chrome 42 au lieu de 41.
On est avril 2015, les sites fonctionnement toujours, l'utilisateur n'est pas gêné (c'est uniquement visuel: Chrome 42 affiche du "rouge" mais ne bloque pas le site)
Ceux qui ont des SHA-1 a durée de vie courte ne sont pas impactés (par exemple: google.com est en SHA-1 a durée de vie de 3 mois)
Il faut quoi de plus ? franchement on peut pas en vouloir aux devs de Chrome dans cette histoire.
En plus la on en parle parce que c'est arrivé avec lafibre.info qui dépend d'un certif de Starcom. Si ce dernier avait correctement fait son job de CA on ne s'en serait même pas aperçu...et on en parlerai pas ici.
Le probleme est toujours le même: tout le monde sait qu'il faut agir mais quasi personne agit sauf sous la contrainte. L'objectif de Google est de forcer les CA a agir et a part certains comme Starcom ca a globalement marché avant d'arriver a la phase rouge. La phase rouge permet aux utilisateurs d'agir sur les sites qui agiront sur les CA. C'est hélas le seul moyen pour forcer certains a agir: attendre que l'utilisateur final se rend compte de quelque chose.
-
Non.
Encore une fois, il n'y a PAS de problème ici.
Google ne fait PAS son job avec un logiciel à l'interface effrayante qui donne des signaux contradictoires.
-
Mozilla compte faire la même chose, mais un peu plus tard, dans Firefox.
We plan to implement these warnings in the next few weeks, so they should be appearing in released versions of Firefox in early 2015. We may implement additional UI indicators later. For instance, after January 1, 2016, we plan to show the “Untrusted Connection” error whenever a newly issued SHA-1 certificate is encountered in Firefox. After January 1, 2017, we plan to show the “Untrusted Connection” error whenever a SHA-1 certificate is encountered in Firefox.
https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/
-
On est avril 2015, les sites fonctionnement toujours, l'utilisateur n'est pas gêné (c'est uniquement visuel: Chrome 42 affiche du "rouge" mais ne bloque pas le site)
Ben si, moi ça me gène.
J'ai même essayé de revenir en release 41, mais je n'avais plus accès à certaines données enregistrées.
Ceux qui ont des SHA-1 a durée de vie courte ne sont pas impactés (par exemple: google.com est en SHA-1 a durée de vie de 3 mois)
Donc :
- la connexion potentiellement vulnérable à certains sites est présentée comme sûre
- la connexion sûre à lafibre est présentée comme vulnérable
Bel exploit!
-
Donc :
- la connexion potentiellement vulnérable à certains sites est présentée comme sûre
- la connexion sûre à lafibre est présentée comme vulnérable
Bel exploit!
C'est autant potentiellement vulnérable l'un que l'autre du moment qu'un sha-1 est dans le chemin.
La date courte/longue est justement le point clé de l'opération.
Le probleme de lafibre.info vient de Startcom et de Windows et pas de Chrome. D'ailleurs Chrome a permis de voir qu'il y avait un probleme: la possibilité d'un chemin terminant par un sha-2 avec un sha-1 en intermédiaire.
-
Pourquoi est-ce que la limite pathlen n'est pas généralisée?
-
Un truc qui m'a fait sourire:
(http://i.imgur.com/osikACz.png?1)
-
le problème de tout ça c'est que l'utilisateur classique risque de s’habituer à voir du rouge dans la barre d’adresse !
et c'est pas bon du tout!
est qu'il n'y avait pas un autre moyen de faire ça ? (genre popup ou autre en laissant en orange ? )
-
Mettre en rouge, c'est de l'activisme et c'est condamnable!
-
Ouais de toute façon les choix faits pour les navigateurs y'a toujours des trucs qui font chier...
J'ai hérité d'un framework un peu ancien qui utilisait la fonction showModalDialog... Elle n'existait que sur IE à l'origine mais elle avait été implèmenté par FF et Chrome jusqu'à ce qu'ils reviennent en arrière, m'obligeant à repenser toute cette partie du framework historique pour que mon appli continue de fonctionner.
Maintenant, je me retrouve à essayer de faire développer un plugin d'impression en Silverlight (je fais du raw printing) et je me heurte à NPAPI qui est annoncé comme supprimé de Chrome en septembre 2015. Du coup il faut que je trouve encore une autre solution pour remplacer ma solution Silverlight.
Bref, ils aiment bien pousser les développeurs d'applications Web à devoir changer constamment leurs solutions en oubliant un peu que tout cela a un coup et qu'il n'est pas toujours supportable !
Si ça continue je vais revenir à du client lourd... Au moins, les évolutions sont un peu moins fréquentes et il est plus facile de s'adapter...
-
Ouais de toute façon les choix faits pour les navigateurs y'a toujours des trucs qui font chier...
J'ai hérité d'un framework un peu ancien qui utilisait la fonction showModalDialog... Elle n'existait que sur IE à l'origine mais elle avait été implèmenté par FF et Chrome jusqu'à ce qu'ils reviennent en arrière, m'obligeant à repenser toute cette partie du framework historique pour que mon appli continue de fonctionner.
Maintenant, je me retrouve à essayer de faire développer un plugin d'impression en Silverlight (je fais du raw printing) et je me heurte à NPAPI qui est annoncé comme supprimé de Chrome en septembre 2015. Du coup il faut que je trouve encore une autre solution pour remplacer ma solution Silverlight.
Bref, ils aiment bien pousser les développeurs d'applications Web à devoir changer constamment leurs solutions en oubliant un peu que tout cela a un coup et qu'il n'est pas toujours supportable !
Si ça continue je vais revenir à du client lourd... Au moins, les évolutions sont un peu moins fréquentes et il est plus facile de s'adapter...
Dans ton cas et pour tes 2 exemples le fautif est Microsoft.
Depuis que le web a été inventé, Microsoft a toujours essayé de le tuer. C'est son ennemi naturel qui menace son modèle: du client lourd sur un OS payant.
IE a été crée pour tuer Netscape et a réussi. Cela a conduit a une longue période de stagnation ("les années IE 6") avant que Chrome fasse bouger les choses a nouveau.
Silverlight a été crée pour tuer Java et Flash et a échoué donc MS l'abandonne.
Dans les 2 cas tu as choisi des produits 'web' fait par une boite donc le but est de tuer le 'web'... faut pas s'étonner.
conclusion: pour faire du web, ne jamais choisir de solutions qui dépendent de Microsoft.
-
Ouais enfin faut pas pousser non plus ASP.NET ils continuent de le faire vivre et ils vont même le rendre open source pour améliorer la compatibilité avec les plateformes du monde libre !
Après encore une fois, si quelqu'un est capable de me faire du raw printing sans utiliser Java ou Silverlight et qui soit crossbrowser (sous Windows au moins, nous ne garantissons pas la compatibilité sur les autres OS), je prends ! Mais pour avoir creuser un peu le sujet, il n'y a pas 50 possibilités ! Quand ton serveur génère des instructions à envoyer en l'état à une imprimante connectée au poste utilisateur, ça devient galère !
Pourquoi abandonné le support de quelque chose qui est encore largement utilisé ? Même Oracle pousse ses utilisateurs à changer de navigateur... de la à penser qu'ils n'ont pas l'intention de porter Java en NAtive Client il n'y a qu'un pas que j'ose franchir : https://java.com/en/download/faq/chrome.xml
Bref c'est une décision à la con de la part de Google qui veut exactement faire la même chose que celle que tu reproches à Microsoft à savoir tuer le marché avec ses propres outils (Native Client et/ou PPAPI en l'occurrence bien que je ne sois pas certain qu'on puisse faire exactement la même chose qu'avec NPAPI).
Conclusion : Pour faire du Web, vaut mieux qu'on ai pas trop besoin de 2.0 parce que c'est très très très très vite le bordel pour la compatibilité (et j'oublie certainement des très)
Conclusion 2 : Oui je suis remonté à cause de ce problème... Toutes les boîtes n'ont pas les moyens de Google et ne peuvent pas se permettre de changer de façon de faire tous les 3 mois quand l'envie prend à l'un ou l'autre des browsers de changer/supprimer une fonctionnalité de leur navigateur.
-
Après encore une fois, si quelqu'un est capable de me faire du raw printing sans utiliser Java ou Silverlight et qui soit crossbrowser (sous Windows au moins, nous ne garantissons pas la compatibilité sur les autres OS), je prends ! Mais pour avoir creuser un peu le sujet, il n'y a pas 50 possibilités ! Quand ton serveur génère des instructions à envoyer en l'état à une imprimante connectée au poste utilisateur, ça devient galère !
T'es pile dans une problématique ou c'est pas une solution Web (dans le navigateur) qu'il faut: pas étonnant que tu doivent faire des trucs tordu pour y arriver.
La philosophie 'Web client léger" c'est qu'il n'y a pas de périphériques sur le poste client donc ton imprimante doit être réseau ou partagée sur un poste 'lourd' (qui peut être le meme poste).
La tu cherches à faire un truc entre les 2 mondes et ensuite tu t'en prend au 'nouveau monde' parce qu'il arrête de supporter des trucs de l'ancien monde.
Conclusion : pour faire du Web faut suivre la philosophie Web et pas chercher a résoudre son probleme a grand coup de marteau.
-
Pour le HTTPS barré de lafibre.info, j'ai été brutal : j'ai ajouté le certificat dans Windows.
Faut pas me chercher!
-
IE a été crée pour tuer Netscape et a réussi. Cela a conduit a une longue période de stagnation ("les années IE 6") avant que Chrome fasse bouger les choses a nouveau.
sauf erreur de ma part:
c'est pas firefox qui à recommencé à faire bouger les choses?
avec chrome qui est arrivé au moment ou ça bougeait déjà bien ?
-
T'es pile dans une problématique ou c'est pas une solution Web (dans le navigateur) qu'il faut: pas étonnant que tu doivent faire des trucs tordu pour y arriver.
La philosophie 'Web client léger" c'est qu'il n'y a pas de périphériques sur le poste client donc ton imprimante doit être réseau ou partagée sur un poste 'lourd' (qui peut être le meme poste).
La tu cherches à faire un truc entre les 2 mondes et ensuite tu t'en prend au 'nouveau monde' parce qu'il arrête de supporter des trucs de l'ancien monde.
Conclusion : pour faire du Web faut suivre la philosophie Web et pas chercher a résoudre son problème a grand coup de marteau.
Enfin même avec une imprimante réseau, quand tes utilisateurs sont sur des réseaux locaux distincts et dans des structures qui t'empêchent tout partage over Internet et qui ne peuvent pas forcèment mettre en place un VPN, faudra me dire comment tu adresses une imprimante depuis le serveur ! Quand en plus on te rajoute la contrainte d'environnements assez spécifiques au point d'avoir parfois l'impossibilité formelle d'installer quoi que ce soit sur le poste (donc exit la solution cradingue d'un exécutable à faire utiliser par les utilisateurs en dehors de l'application Web) ben tu fais avec ce qui existe pour contourner. Donc oui, quand on te le supprimes ça fait chier ! Et l'argument du nouveau monde qui arrête de supporter des trucs de l'ancien monde ne prend pas. NaCl et PPAPI, c'est fait pour faire exactement la même chose que ce qui était faisable avant avec NPAPI... Donc le seul truc qui se produit c'est un changement mais tellement radical que tout le monde ne peut pas suivre sans devoir foutre en l'air tout l'investissement déjà réalisé.
Sinon ça pourrait être pas mal de sortir cette discussion du topic car elle sort un peu du sujet initial ;)
-
Enfin même avec une imprimante réseau, quand tes utilisateurs sont sur des réseaux locaux distincts et dans des structures qui t'empêchent tout partage over Internet et qui ne peuvent pas forcèment mettre en place un VPN, faudra me dire comment tu adresses une imprimante depuis le serveur ! Quand en plus on te rajoute la contrainte d'environnements assez spécifiques au point d'avoir parfois l'impossibilité formelle d'installer quoi que ce soit sur le poste (donc exit la solution cradingue d'un exécutable à faire utiliser par les utilisateurs en dehors de l'application Web) ben tu fais avec ce qui existe pour contourner. Donc oui, quand on te le supprimes ça fait chier ! Et l'argument du nouveau monde qui arrête de supporter des trucs de l'ancien monde ne prend pas. NaCl et PPAPI, c'est fait pour faire exactement la même chose que ce qui était faisable avant avec NPAPI... Donc le seul truc qui se produit c'est un changement mais tellement radical que tout le monde ne peut pas suivre sans devoir foutre en l'air tout l'investissement déjà réalisé.
Sinon ça pourrait être pas mal de sortir cette discussion du topic car elle sort un peu du sujet initial ;)
Je compatis que 'ca fasse chier' mais les coupables ici ce sont les contraintes du projet (réseau, postes, etc) et le choix de mise en oeuvre pas l'évolution des navigateurs.
NaCL/PPAPI/NPAPI sont des technos de transitions, a utiliser en dernier recours, temporairement et en sachant qu'a tout moment ca peut ne plus marcher.
Ce sont des 'trous' dans les navigateurs qui violent le concept même du client web en le court-circuitant complètement.
Apres, chez les clients, je ne vois que trop de 'solutions temporaires' qui durent parce que 'le mieux est l'ennemi du bien' et souvent le seul moyen de faire bouger les choses est ce qui arrive aujourd'hui. Rien qu'avoir Flash et la video par exemple. Ca fait des années maintenant que les navigateurs supportent tous le tag video, que les mobiles ne supportent pas Flash et pourtant la plupart des videos web requièrent encore Flash pour leur version desktop. Pour beaucoup ils vont attendre que les navigateurs arrêtent le support de Flash pour faire évoluer leur site. C'est juste comme ça que le monde marche.
Apres il y une nette volonté de Google de 'dégager' "ces relents de l'ancien monde". Ils ne s'en sont jamais caché et annoncent les choses a l'avance donc ca n'est pas vraiment une surprise et on a le temps de s'adapter. Maintenir tout ca dans Chrome coute cher en temps et ressources et freine son évolution (changer le moteur interne de Chrome tout en gardant la compatibilité avec ces 'trous' est très complexe par exemple).
NPAPI date de 1995 tout de meme! en 2013 Google annonce l’arrêt planifié de son support pour 2015. La version 42 d'aujourd'hui permet encore de s'en servir mais il faut explicitement l'activer (chrome://flags/#enable-npapi ou stratégie d'entreprise (http://www.chromium.org/administrators/policy-list-3#EnabledPlugins)). On peut pas dire qu'ils soient brutaux quand meme. Quasi 3 ans d'annonces pour arrêter le support d'une techno qui date de 20 ans.
faudra me dire comment tu adresses une imprimante depuis le serveur
Tu peux pas mettre en place des 'print server' (petit boiter ethernet-usb) qui supportent du REST/Webservice (ou meme un simple HTTP POST)? comme ca les flux d'impression partent des navigateurs (XHR) et pas du serveur.
-
Non mais en soit c'est sûr que c'est pas une mauvaise chose que ça bouge... Concernant Salt & Pepper, j'ai pas l'impression que ce soit du transitoire... Ou alors ça va être un transitoire durable (à moins que la mayonnaise de prenne pas !).
Concernant les annonces, il faut avoir le temps de faire de la veille techno sur tous les sujets concernant un projet. Entre Microsoft, les navigateurs, les technos du web en général, ça fait une masse d'information non négligeable à éplucher et quand ça fait 3 ans que tu as la tête sous l'eau sur un projet, ben c'est loin d'être la priorité (certes ça le devrait mais quand il faut se justifier auprès des chefs ça passe mal). J'ai déjà eu récemment à faire avec un correctif de sécurité Microsoft qui m'a obligé à repasser sur la totalité de notre appli pour se mettre en conformité. Ça faisait presque un an que le bulletin était sorti et ils avaient finalement décidé de plus laissé le choix aux utilisateurs et de diffuser le correctif dans les Windows Update... Ben j'avais les boules parce que si j'avais vu l'annonce avant, j'aurais pu être proactif plutôt que d'être mis devant le fait accompli et de devoir corriger en urgence.
Bref.
Sinon merci bein pour le conseil ;) Je n'avais effectivement pas envisagé cette solution. Après le risque c'est que je ne suis maître que de mon appli et pas de l'infra chez les clients. On a déjà fait évolué entre la version client lourd et la version web actuelle la fonctionnalité d'impression d'étiquette pour garantir une compatibilité avec "toutes" les imprimantes étiquettes du marché pour éviter que les clients soient obligés d'investir dans du nouveau matériel. Donc là avec les print server on retombe dans une nécessité d'investissement potentiel du client. Pour corser le tout, un de nos clients travaillent en plus en partenariat avec e'autres structures dont il ne maitrise pas non plus l'infra... Du coup ça fait beaucoup de choses non maitrisées. Mais bon, ça donne en tout cas une piste intéressante pour trouver une alternative.
Par contre question idiote, ça risque pas de poser problème du XHR crossDomain ? (oui je fais du Web mais je suis loin d'être maître en la matière surtout en travaillant sur des technologies un peu anciennes ;))
-
Pourquoi XHR?
Un simple serveur Web : GET, POST, tu exportes les résultats en JS ou CSS.
-
Par contre question idiote, ça risque pas de poser problème du XHR crossDomain ? (oui je fais du Web mais je suis loin d'être maître en la matière surtout en travaillant sur des technologies un peu anciennes ;) )
pour le crossDomain il y a CORS (http://www.html5rocks.com/en/tutorials/cors/) (voir ici aussi (https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS)) ou JSONP (https://en.wikipedia.org/wiki/JSONP)suivant ce que le serveur a l'autre bout supporte.
-
Pourquoi XHR?
Un simple serveur Web : GET, POST, tu exportes les résultats en JS ou CSS.
Oulà ! je comprends pas où tu veux en venir...
-
JS et CSS ne sont pas soumis à "same origin"
-
Bonjour,
Depuis ce matin sur mon galaxy s4 avec chrome, cadenas barré avec
"Ce site utilise une configuration de sécurité faible (sign sha-1) il est donc possible que votre connexion ne soit pas privée."