La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: Marco POLO le 22 avril 2017 à 00:56:00
-
Il est étonnant de remarquer que cette page ne semble pas sécurisée (https://lafibre.info/tv-numerique-hd-3d/apres-tf1-m6-menace-les-operateurs-de-se-retirer-des-box-internet/24/#lastPost) alors que la suivante semble l'être (https://lafibre.info/tv-numerique-hd-3d/apres-tf1-m6-menace-les-operateurs-de-se-retirer-des-box-internet/new/?topicseen#new) !!! (https://lafibre.info/images/smileys/@GregLand/cs.gif)
-
Pas de souci ici.
(https://pix.milkywan.xyz/haQ3Uk3U.png)
-
C'est d'autant plus étonnant que la fibre.info utilise des certificats Let's encrypt. Donc je suppose une interception de la connexion https par un autre programme, par exemple un antivirus.
-
Je lis bien Let's Encrypt sur ses 2 screens. Tu confonds avec l'extension Firefox utilisée pour vérifier le certif SSL ? (Calomel)
-
Exact, je confondais. Je lis que le développement de l'extension a été suspendu :
IMPORTANT: Development of the Calomel SSL Validation addon has been put on hold. Mozilla is disabling XUL and XPCOM in Firefox which means the addon is
no longer able to query the current browser tab for the TLS certificate and cipher information.
https://addons.mozilla.org/fr/firefox/addon/calomel-ssl-validation/
-
On est sur un forum... pas sur un site bancaire.
La securité faut pas en abuser si tu veux pas que comme dans entreprises ou on t'oblige a changer ton mot de passe tous les 2 mois, avec 13 caractères, des spéciaux, des chiffres, des majuscules et miniscules, et impossible a réutiliser le meme avant 10 changements :(
Le resultat est que tu peux soulever 8 clavier sur 10 et tu trouvera le password sur un postit....
-
La fibre est lut par de nombreux internautes et un peu de sécurité est pas un luxe dans ce monde de OUF
Bonne journée a tous ;)
-
Ce petit warning apparaît seulement sur les pages qui contiennent des images provenant de domaines non-https.
Dormez sur vos deux oreilles. ;)
-
Il est étonnant de remarquer que cette page ne semble pas sécurisée (https://lafibre.info/tv-numerique-hd-3d/apres-tf1-m6-menace-les-operateurs-de-se-retirer-des-box-internet/24/#lastPost) alors que la suivante semble l'être (https://lafibre.info/tv-numerique-hd-3d/apres-tf1-m6-menace-les-operateurs-de-se-retirer-des-box-internet/new/?topicseen#new) !!! (https://lafibre.info/images/smileys/@GregLand/cs.gif)
Pourtant d'après cette analyse, tout est bon!!!
-
On est sur un forum... pas sur un site bancaire.
La securité faut pas en abuser si tu veux pas que comme dans entreprises ou on t'oblige a changer ton mot de passe tous les 2 mois, avec 13 caractères, des spéciaux, des chiffres, des majuscules et miniscules, et impossible a réutiliser le meme avant 10 changements :(
Le resultat est que tu peux soulever 8 clavier sur 10 et tu trouvera le password sur un postit....
Pas d'accord du tout!
La sécurité des communications devrait aller de soi. Il est trop facile d'intercepter et modifier les pages Web sur un réseau Wifi ouvert!
Cela n'a vraiment AUCUN rapport avec les exigences ridicules de "complexité" de mot de passe - la complexité n'étant absolument pas une métrique bien définie!
-
Ce petit warning apparaît seulement sur les pages qui contiennent des images provenant de domaines non-https.
Dormez sur vos deux oreilles. ;)
Ah bon. Si c'est le cas, on ne peut pas dire que ça soit très lisible ni très pratique.
Et en plus je n'ai pas vu de telles images sur cette page!
-
La securité faut pas en abuser si tu veux pas que comme dans entreprises ou on t'oblige a changer ton mot de passe tous les 2 mois, avec 13 caractères, des spéciaux, des chiffres, des majuscules et miniscules, et impossible a réutiliser le meme avant 10 changements :(
La securite faut pas en abuser, mais faut savoir bien l'utiliser.
L'histoire des mots de passe est completement debile, alors que dans les memes boites on trouve aussi des liens internet "pirate" (hors DSI), des outils internes (mais ausi externes) en HTTP (sans s) et bien-sur des proxy qui rendent l'internet totalement inutilisable, au point que certains ne peuvent plus travailler.
Ce qui explique en effet les liens interne "pirate" (e.x. "le marketing a besoin d'un lien ADSL grand public pour pouvoir avoir un acces normal aux reseaux sociaux" ou "les gens fortement mobils (sales, avant-vente) ont commande un lien ADSL et un routeur wifi pour ne pas etre obliges de chercher un cable tout le temps) ou "directeur Y a fait pression aupres de la direction generale de ne pas etre assujeti a la politique de securite qui l'empeche de travailler". On oublie pas non plus les "pourquoi j'ai une erreur de securite chaque fois que je vais sur google" (parce-que quelqu'un a decide que "SSL interception" c'est bien) ?
A un certain moment il faut assujetir tout le monde dans la chaine de decision aux consequences de leurs decisions, car de ce que j'ai vu, il y en a pas mal qui ne sont pas assujetis a leurs propres conneries.
-
Ouvre les outils de développement de ton navigateur, ouvre la console JS sur la page "non sécurisée" tu verra que c'est une image en particulier qui bloque le truc ;)
EDIT : Voici un exemple sur Chrome (j'ai volontairement modifié le code source dans "Inspecter l'élèment" pour mettre mon avatar en HTTP) de contenu "mixte", qui rend le site "non-sécurisé" :
(https://i.imgur.com/QlTAwps.png)
-
Exact, je confondais. Je lis que le développement de l'extension a été suspendu :
IMPORTANT: Development of the Calomel SSL Validation addon has been put on hold. Mozilla is disabling XUL and XPCOM in Firefox which means the addon is
no longer able to query the current browser tab for the TLS certificate and cipher information.
https://addons.mozilla.org/fr/firefox/addon/calomel-ssl-validation/
Ouvre les outils de développement de ton navigateur, ouvre la console JS sur la page "non sécurisée" tu verra que c'est une image en particulier qui bloque le truc ;)
EDIT : Voici un exemple sur Chrome (j'ai volontairement modifié le code source dans "Inspecter l'élèment" pour mettre mon avatar en HTTP) de contenu "mixte", qui rend le site "non-sécurisé" :
(https://i.imgur.com/QlTAwps.png)
...Bon ! Donc, fausse alerte, alors ! Toutes mes excuses pour le troll. (https://lafibre.info/images/smileys/@GregLand/bk.gif)
-
Au pire, quelle URL est dite "non sécurisée" ?
-
Ouvre les outils de développement de ton navigateur, ouvre la console JS sur la page "non sécurisée" tu verra que c'est une image en particulier qui bloque le truc ;)
EDIT : Voici un exemple sur Chrome (j'ai volontairement modifié le code source dans "Inspecter l'élèment" pour mettre mon avatar en HTTP) de contenu "mixte", qui rend le site "non-sécurisé" :
(https://i.imgur.com/QlTAwps.png)
Encore une fois, je ne vois pas de telles images sur la page. Pas de contenu mixte. 100% sécurisé pour moi.
-
Ce problème est lié à mise en place d'image hébergées sur un serveur http.
Marco POLO insère sur presque tous ses messages des smileys externe en http, ce qui génère ce message sur le fait que https n'est pas présent sur tous les éléments de la page et donc une alerte sécurité sur certains outils (le pire c'est Internet Explorer 8 qui demande de valider ou non le chargement d'élèment http qui se trouve dans une page https)
La nuit un petit script va changer les URL des smileys en questions pour les passer en https, d'où le fait que la page soit en full https.
A terme, je pense changer le header du forum pour que les image en http ne s'affichent pas.
Cela nécessite par contre un travail important pour héberger en interne toutes les images http qui sont déjà sur le forum.
Il faut que je propose mon hébergement https au fournisseur de Smiley de Marco POLO
Méthode recommandée pour mettre des images sur le forum
Sur le forum, quand vous composez votre message, cliquez sur "Fichiers joints et autres options..." en bas.
Vous pouvez alors joindre un fichier.
Pour joindre plusieurs fichiers, cliquez sur "(ajouter un fichier)"
(https://lafibre.info/images/tuto/Tuto_copie_ecran_win_5.png)
-
De façon plus générale, les images externes posent le problème de la stabilité des URL et donc de la possibilité de comprendre un topic quelques années plus tard.
-
Ce problème est lié à mise en place d'image hébergées sur un serveur http.
Marco POLO insère sur presque tous ses messages des smileys externe en http, ce qui génère ce message sur le fait que https n'est pas présent sur tous les éléments de la page et donc une alerte sécurité sur certains outils...
...Merci pour l'info: intéressant à savoir ! (https://lafibre.info/images/smileys/@GregLand/ay.gif)
...La nuit un petit script va changer les URL des smileys en questions pour les passer en https, d'où le fait que la page soit en full https.
A terme, je pense changer le header du forum pour que les image en http ne s'affichent pas.
Cela nécessite par contre un travail important pour héberger en interne toutes les images http qui sont déjà sur le forum.
Il faut que je propose mon hébergement https au fournisseur de Smiley de Marco POLO[/size]
...Ca, c'est sympathique: si tu as besoin de mon aide... (je vais lui envoyer un lien vers ton message). (https://lafibre.info/images/smileys/@GregLand/en.gif)
...Méthode recommandée pour mettre des images sur le forum
Sur le forum, quand vous composez votre message, cliquez sur "Fichiers joints et autres options..." en bas.
Vous pouvez alors joindre un fichier.
Pour joindre plusieurs fichiers, cliquez sur "(ajouter un fichier)"...
...C'est déjà ce que je fais: dommage qu'on ne puisse pas afficher côte à côte les images téléchargées de cette façon. (https://lafibre.info/images/smileys/@GregLand/bk.gif)
-
à quand un hébergeur simple comme https://pix.milkywan.xyz/ intégré à lafibre.info ? Je veux bien m'y coller si besoin :D
-
y'a pas moyen d'interdire d’insérer des images en http ? (=imposer https ou utiliser la fonction joindre).
-
A terme, je pense changer le header du forum pour que les image en http ne s'affichent pas.
Si si :)
-
y'a pas moyen d'interdire d’insérer des images en http ? (=imposer https ou utiliser la fonction joindre).
Oui, avec le Content Security Policy (CSP)
C'est nécessaire pour avoir un A sur l'outil de Mozilla : https://observatory.mozilla.org/analyze.html?host=lafibre.info
J'ai réalisé quelques tests et cela fonctionne bien (avec un navigateur récent)
-
Pour le braille tu pense a quelque chose de précis 8)
-
Je parlais plutôt d'interdire d’insérer lors de l'édition dans les balises <img>, avec par exemple un message d'erreur quand on fait soumettre ou prévisualiser si on a link une image en http (en js ca prend 2 minutes à faire).
-
apres y'a cette solution: http://www.simplemachines.org/community/index.php?topic=527996.0
en gros:
[img]http://www.example.com/image.png[/img]
devient systématiquement
[img]https://images.weserv.nl/?url=www.example.com/image.png[/img]
ou https://images.weserv.nl est un espèce de proxy qui 'https' les images (en plus il peut éventuellement faire du caching a vie).
tu peux meme hoster ton propre proxy/cache: https://github.com/andrieslouw/imagesweserv
-
Je n'avais pas pensé à mettre un message. Cela pourrait être aussi un message, quand on clique sur l’icône qui rajoute la balise "img".
En attendant, quand on rédige un message, on a maintenant "Ajouter des photos, fichiers joints et autres options…" en bas.
L'ancienne traduction était "Fichiers joints et autres options…" ce qui ne permet pas de penser que cela permet de rajouter des photos.
-
Ce petit warning apparaît seulement sur les pages qui contiennent des images provenant de domaines non-https.
Dormez sur vos deux oreilles. ;)
Je pense que le titre du topic devrait inclure "les pages (de lafibre) qui contiennent des images provenant de domaines non-https".
-
LaFibre.info n'a-'elle plus de sécurité ? [
Mince ! Il va falloir reprendre de la sécurité à Carrefour. En ce moment elle vient d'Espagne, un peu cher le kg.
Je n'avais pas pensé à mettre un message.
Je prendrai 2x ration d'Unicode dans mon panier !
-
Je pense que le titre du topic devrait inclure "les pages (de lafibre) qui contiennent des images provenant de domaines non-https".
Fait + transfert dans la section "Évolution de LaFibre.info, bugs et critiques"
-
Cool les transferts : les anciennes URL marchent encore.
Bravo le logiciel!
(C'est pas tous les jours que j'applaudis ce logiciel moisi.)
-
Cool les transferts : les anciennes URL marchent encore.
Bravo le logiciel!
(C'est pas tous les jours que j'applaudis ce logiciel moisi.)
Tu parles bien d'SMF ? Pourquoi moisi ?
-
Tu parles bien d'SMF ? Pourquoi moisi ?
Tu as déjà tenté d'utiliser l'éditeur WYSIWYG?
Tu trouve normal de ne pas pouvoir copier-coller du "contenu riche" (HTML) venant de pages Web?
Tu trouves que la syntaxe BBCode pour les tables est pratique?
Tu trouves pratique de ne pouvoir téléverser des images sur le forum qu'en pièce jointe à la fin, donc sans contrôle de la présentation? Et le fait que dans les messages eux-même il faille utiliser un hébergement externe, ce qui donc crée le problème de "contenu mixte" (HTTP dans HTTPS) mais aussi de la durabilité de ces liens?
-
SMF met du temps à évoluer...
La version compatible PHP 7 arrive cette année, la version compatible IPv6 en 2018...
Maintenant il est plutôt bien sécurisé et pas trop bugué.
-
"Plutôt bien"?
La sécurité c'est blindé ou pas.
-
SMF met du temps à évoluer...
La version compatible PHP 7 arrive cette année, la version compatible IPv6 en 2018...
Maintenant il est plutôt bien sécurisé et pas trop bugué.
Le mot évoluer est un poils trop précis
SMF en 2.1.0 est en bêta depuis 3 ans :o
-
Tu as déjà tenté d'utiliser l'éditeur WYSIWYG?
Tu trouve normal de ne pas pouvoir copier-coller du "contenu riche" (HTML) venant de pages Web?
Tu trouves que la syntaxe BBCode pour les tables est pratique?
Tu trouves pratique de ne pouvoir téléverser des images sur le forum qu'en pièce jointe à la fin, donc sans contrôle de la présentation? Et le fait que dans les messages eux-même il faille utiliser un hébergement externe, ce qui donc crée le problème de "contenu mixte" (HTTP dans HTTPS) mais aussi de la durabilité de ces liens?
On part en hors-sujet, mais comme dit dans un plus vieux thread, ce serait trop complexe de migrer vers un autre système de forum...
-
On part en hors-sujet, mais comme dit dans un plus vieux thread, ce serait trop complexe de migrer vers un autre système de forum...
Je suis d'accord que c'est très compliqué.
On ne peut pas adapter une autre interface utilisateur pour l'édition de messages?
-
Tu parles bien d'SMF ? Pourquoi moisi ?
Moisi au niveau du moteur :
- utilise partout des requêtes SQL "dynamiques" (confectionnées dynamiquement par concaténations de chaines de caractères) donc susceptibles d'être des portes ouvertes à l'injection SQL au premier oubli d'un traitement d'un paramètre (erreur assez facile à faire)
- pas d'option de journalisation des modifications
- utilise la même base de données aussi bien pour les données essentielles du forum que pour les statistiques y compris des statistiques à très court terme, alors qu'il faudrait séparer ce qui est l'essentiel du forum à sauvegarder (liste des inscris, messages du forum, messages privés...), ce qui est de moindre importance (nombre de vues sur une page) et ce qui n'a aucun intérêt après un reboot (dernières IP utilisées)
donc globalement mauvaise sécurité.
-
Tu parles bien d'SMF ?
Je trouve nul qu'on ne puisse pas copier coller par exemple une image.
Pourquoi moisi ?
Je trouve nul qu'on doivent copier coller "quote author=TroniQ89 link=topic=26661.msg437850#msg437850 date=1493149235" ... "/quote" à chaque fois alors que même sans passer l'éditeur en WYSIWYG, une fonction quote' pourrait exister dans la barre de boutons. (Je pense que ce style de réponse entrelacé est mieux pour la lisibilité.)
Je comprends que faire un éditeur WYSIWYG robuste est difficile; cependant là il n'y pas le minimum syndical.
Par ailleurs, il faudrait pouvoir insérer des formules LaTeX (rendu GIF, MathML ou en JS).
-
Tu parles bien d'SMF ? Pourquoi moisi ?
Il n'y a pas de protection anti-spam/flood intelligente, seulement des paramètres statiques globaux idiots.
Il faudrait qu'un nouvel inscrit soit très limité dans le nombre de message qu'il peut poster ou de topics qu'il peut créer. Ensuite s'il y a des réponses à ses messages, cela signifie qu'ils sont intelligibles et en rapport avec le sujet, les restrictions peuvent être progressivement levées. C'est une protection assez robuste, les forumeurs faisant le travail de validation des nouveaux inscrits.
Les seuils anti-spam statiques sont arbitraires et ridicules.
-
Le mot évoluer est un poils trop précis
SMF en 2.1.0 est en bêta depuis 3 ans :o
Mais peut être qu'il n'évolue pas parce qu'il est complètement bloated, un code labyrinthiques que personne n'a envie de modifier?
Ce qui explique aussi qu'il n'y a pas un foisonnement sain d'extensions apportant des fonctionnalités supplèmentaires optionnelles évoluées.
-
Après y'a un petit convertisseur (https://mybb.com/download/merge-system/) si on veut par exemple passer sur MyBB.
Il existe même des How-to (https://community.mybb.com/thread-120239.html) pour passer de SMF à Discourse.
Mais je crois qu'on dérive de sujet ;)
-
La suite est dans un sujet à part : https://lafibre.info/evolution/creer-un-nouveau-moteur-de-forum/