• Annonce [Firefox] (et bientôt chrome) connexion non sécurisée


    Mercredi 1er Février à 11:27
    lid Staff

    Bonjour à tous,

    Firefox, et bientôt Chrome, ont modifié leur politique de sécurité: désormais les sites en HTTP sont précédés d'une petite icône "i" indiquant que la connexion n'est pas sécurisée (normal, elle est en http et pas en httpS):

    Ce comportement est normal. (La petite icône avec une loupe et "0,0" que vous voyez à gauche est dûe à l'extension ssleuth de Firefox que j'utilise pour vérifier la qualité des certificats de la plateforme).

    En effet, seuls eklablog.com, ekladata.com et www.eklablog.com disposent de certificats TLS (Transport Layer Security, le protocole utilisé pour certifier un site en https. On parle encore vulgairement de certificats SSL, mais le protocole de chiffrement SSL n'est en fait plus utilisé depuis plus de dix ans, il a été remplacé par TLS, plus sûr, de mémoire aux alentour du début des années 2000).

    Vous allez me dire: pourquoi ne pas avoir pris un wildcard sur *.eklablog.com, pour que par exemple, meslivrespreferes.eklablog.com soit aussi en https. La réponse est simple: car beaucoup, beaucoup des 900.000 blogs de la plateforme appellent du contenu de plateformes externes (flash, javascript: horloges, curseurs de souris, images, vidéos, musique) en HTTP, ce qui "casse" la chaîne de certification d'eklablog dans ce cas.

    Par exemple, imaginons que vous utilisiez une horloge flash sur votre blog, et que cette horloge provienne de http://superhorloge.com. Lorsqu'un lecteur se connectera sur votre blog, il chargera le contenu https d'Eklablog et le contenu http de "superhorloge.com", contenu qui n'est donc plus chiffré, ce qui, pour le navigateur du lecteur du blog, casse la chaîne de certification TLS du blog.

    Or (edit: merci Pipiou :)) un site ayant un HTTPS "cassé" n'est plus référencé (et à terme sera potentiellement indiqué comme un site malveillant). Nous ne pouvons donc pas mettre en place un certificat TLS dit "wildcard" pour couvrir l'ensemble des blogs de la plateforme (et sans compter les blogs premium ayant un nom de domaine personnel pour lesquels il faudrait aussi générer des certificats TLS).

    Cependant et afin de vous rassurer, https://www.eklablog.com, la page de profil et la page de login (attention, pas le login/password dans la barre ekla) sont eux tout à fait sécurisés:

    D'ailleurs, on a un joli 10/10 pour ssleuth :) - je suis plutôt content de notre certificat :)

    À terme, il me semblerait pertinent de remplacer le login/mot de passe dans la barre ekla par un bouton de connexion envoyant vers la page de login sécurisée d'eklablog.

    Par contre, si votre blog affiche au lieu du petit rond avec un "i" dedans (cf première capture d'écran) affiche un cadenas cassé, il est possible que vous appeliez du contenu externe à la plateforme en HTTPS dont le certificat TLS est soit invalide soit mal configuré. Pour reprendre notre exemple précédent, si https://superhorloge.com a un certificat TLS invalide, alors le navigateur indiquera qu'il charge du contenu externe à la plateforme Eklablog de façon non sécurisée, et l'indiquera par un cadenas rouge barré.

    De même, si vous vous authentifiez via la barre eklablog directement depuis votre blog, donc en http, et pas depuis https://www.eklablog.com ou depuis votre page de profil, alors votre navigateur indiquera que vous vous authentifiez depuis une page non sécurisée (et donc: cadenas rouge barré). Exemple:

    Il suffit alors de cliquer sur le bouton "eklablog" pour rejoindre la page de login sécurisé:

    qui vous amènera ensuite directement sur votre page de profil.

    Bonne journée à tous,

    Cordialement,

    lid

    Vendredi 10 Février à 08:20
    Pipiou

    Bien le bonjour lid,

    merci pour infos/explications éclairantes ! Du coup j'ai testé (FireFox) :

    visuel adresse EB :

    ah oui, c'est vert ! donc je me connecte,

    j'arrive sur mon profil, direction La boîte

    et hop plus de cadenas  (normal : codages dans ma page)

     

    Par contre pour la page des forums c'est barré aussi : c'est à cause des scripts/codages/images ajoutés dans les forums ?

    via Chrome c'est encore plus clair, c'est écrit

     

    Effectivement, se connecter via un bouton sur la page au feu vert, pourquoi pas ? Ça veut dire qu'il faut laisser tomber les marques-pages ? ça ça va pas être facile !

     

    Je me permets parce que ça m'est arrivé très souvent : quand tu écris "Hors un site ayant un..."  il vaut mieux écrire "Or un site ayant un..."  mon moyen mnémotechnique = "cependant" n'est pas dehors ;)

    Samedi 11 Février à 09:08
    Xtian

    Bonjour Lid.

    Intéressant votre sujet. J'ai bien sûr été contrôler tant sous Chrome que sous Firefox ou Quant (que j'utilise de plus en plus) si l'adresse de mon Blog chez E.K. et celle de mon site chez WIX était bien précédée de ce fameux i ce qui est bien le cas. 

    Mais j'ai découvert à cette occasion quelque chose de curieux avec cette adresse :

    http://webzz.fr/www/parcourirlemonde.eklablog.fr

    Il semblerait que mon blog soit apparenté avec Webedia ! Peut-être est-ce aussi le cas d'autres eklablogs ?

    C'est amusant et sans importance pour moi mais à l'occasion si vous pouvez m'en dire quelque chose pour satisfaire ma curiosité (et celle d'autres eklablogueurs qui pourraient se trouver dans le même cas).

    Bonne journée

    Lundi 13 Février à 14:40
    lid Staff

    @Pipiou: "Je me permets parce que ça m'est arrivé très souvent : quand tu écris "Hors un site ayant un..."  il vaut mieux écrire "Or un site ayant un..."  mon moyen mnémotechnique = "cependant" n'est pas dehors ;)"

    Oups! Merci pour le moyen mnémotechnique, corrigé ;)

    Dimanche 5 Mars à 19:54
    jcleroy

    bonjour, quelqu'un saurait-il traduire et résumer en français le message de Lid, pour moi incompréhensible ?  Celui qui a affaire à ce message peut-il passer outre l'avertissement sans problème ?  Animateur d'un blog Eklabog (.org) que dois-je faire pour remédier à cet inconvénient ? Merci de votre attention.

     

    Mardi 7 Mars à 07:58
    Pipiou

    Bonjour,

    j'avais mis une réponse hier mais les rafales de gros vent ont dû l'emporter !?

    FireFox nous précise -à gauche de la barre d'adresse- si la page par laquelle on se connecte est sécurisée ou non (http et non httpS),  or seules les pages eklablog.com & ekladata.com disposent de certificats bien valides (merci Lid et bravo pour le 10/10 !)

    Dans nos pages (à nous blogueurs) le moindre code ajouté, javascript, horloge, curseur and Co, "casse" la sécurité et donc -> http et plus httpS, donc FireFox nous dit que page non sécurisée.

    Pour se connecter via la page de login sécurisée, on peut cliquer sur le bouton "eklablog" (barre EB) puis se connecter, ça nous amène sur notre page profil.
    (Ce qui fait dire à Lid qu'à terme, peut-être mettre un bouton pour arriver sur la page de login sécurisée d'eklablog ?)

    Voilà ce que j'ai compris (j'ai bon Lid ?)

    C'est sûr que la technique... c'est technique ! perso je lis doucement, plusieurs fois, avec un cierge allumé à côté he

     

    Mercredi 8 Mars à 16:48
    lid Staff

    @Pipiou: oui c'est bon, 20/20 :)

    Mercredi 8 Mars à 17:32
    Pipiou

    youpi !  (et ouf !) ça fait longtemps que j'ai pas eu une si bonne note  he

    Reste à savoir si ça va éclairer jcleroy ?

     

    Edit pour info si ça peut aider : 

    les messages de Firefox sont affichés pour information. 

    En effet, le moindre script, code ou autre que l'on a ajouté, nous, dans nos pages fait que, pour Firefox, la page n'est pas sécurisée comme peut l'être la page EB, sécurisée par Lid.

    Si on ne veut plus voir ces messages, y'a 2 options :

    1/ se connecter via la page Eklablog : clic sur eklablog (dans la barre EB)
    PUIS on saisit nos identifiants : la page eklablog étant sécurisée, les messages de Firefox ne s'affichent pas. (et accessoirement nos identifiants sont mieux protégés).

    2/ on peut apparemment supprimer ces messages Firefox mais là c'est à nos risques et périls,  perso j'essaierai même pas, je préfère passer par la page EB ;) 

     

    Mercredi 12 Avril à 17:43
    Celiandra

    Pour moi cela marche Merci Pipiou. ET je fais suivre..... car beaucoup de blogueurs ont ce soucis et perdent énormement de visiteurs.qui ne se connectent plus ayant peur de ces connexions non sécurisées. Je pense mais c'est perso que c'est pas bon pour la plateforme

     

    http://le-monde-de-celiandra.eklablog.fr/divers-probleme-resolu-a129823448

     pas mal de blogueurdivers:probleme résolu.....

    Mercredi 19 Avril à 19:48
    bakuba

    bonsoir

    effectivement le nombre de visiteurs a fortement baissé,probablement du à la mention "site non sécurisé"qui s'affiche lors des consultations




    Vous devez être membre pour poster un message.