Rechercher sur ce blogue

jeudi 9 juin 2016

Firefox: Le blocage du contenu mixte (le HTTPS)







Firefox vous protège des attaques en bloquant le contenu potentiellement malveillant et non sécurisé des pages web qui sont censées être sûres. Poursuivez la lecture pour en apprendre plus sur le contenu mixte et savoir quand Firefox l'a bloqué.

Qu'est-ce que le contenu mixte ?

HTTP est un protocole de transmission des informations d'un serveur web vers votre navigateur. HTTP n'est pas sécurisé, donc quand vous naviguez sur une page via HTTP, votre connexion est ouverte aux écoutes et aux attaques. La plupart des sites utilisent HTTP parce que les informations qui y circulent ne sont pas sensibles et n'ont donc pas besoin d'être sécurisées.
Quand vous naviguez sur une page dont le serveur est pleinement HTTPS, comme c'est le cas pour votre banque, vous verrez une icône de cadenas verts dans la barre d'adrese (consultez l'article Comment puis-je savoir si ma connexion vers un site web est sécurisée ? pour les détails). Cela signifie que votre connexion est authentifiée et chiffrée, par conséquent, protégée des écoutes et des attaques de l'homme du milieu.
Cependant, si la page HTTPS inclut des données HTTP, la portion HTTP peut être lue ou modifiée par des pirates, même si la page principale est sur un serveur HTTPS. Quand une page HTTPS a des données HTTP, on appelle cela du contenu « mixte ». La page n'est qu'en partie chiffrée et même si elle semble être sécurisée, elle ne l'est pas.


Note : Pour plus d'informations sur le contenu mixte (actif et passif), visitez cet article de blog en anglais.

Quels sont les risques des contenus mixtes ?

Un pirate peut remplacer les données HTTP de la page afin de voler vos identifiants, s'emparer de votre compte, acquérir des données sensibles vous concernant, modifier le contenu de la page ou tenter d'installer des logiciels malveillants sur votre ordinateur.

Comment puis-je savoir qu'une page contient du contenu mixte ?

Vérifiez si l'icône ci-contre est présente dans votre barre d'adresse pour déterminer si la page contient du contenu mixte.
mixed content icon url 42

Pas de contenu mixte : sûr

  • green lock 42  : vous verrez un cadenas vert lorsque vous êtes sur une page entièrement sécurisée qui ne tente pas de charger des éléments non sécurisés.

Contenu mixte bloqué : sûr

  • blocked secure 42  : vous verrez un cadenas vert avec un triangle d'avertissement gris lorsque Firefox a bloqué les éléments non sécurisés sur cette page. Cela signifie que la page est désormais sûre. Cliquez sur l'icône pour afficher le centre de contrôle et obtenir plus de détails de sécurité sur la page.

Contenu mixte pas bloqué : pas sûr

  • unblocked mixed content 42  : si vous voyez un cadenas barré en rouge, c'est que Firefox ne bloque pas les éléments non sécurisés, que cette page est vulnérable aux écoutes et aux attaques, et que vos données personnelles à partir du site peuvent vous être volées. Vous ne devriez pas voir cette icône, sauf si vous avez débloqué le contenu mixte en suivant les instructions de la section suivante.
  • orange triangle grey lock 42  : un cadenas gris avec un triangle orange indique que Firefox ne bloque pas le contenu passif non sécurisé. Les pirates peuvent être capables de manipuler des parties de la page, par exemple en affichant du contenu falsifié ou inapproprié, mais ils ne devraient pas pouvoir voler vos données personnelles à partir du site.

Débloquer le contenu mixte

Débloquer les éléments non sécurisés n'est pas recommandé, mais cela peut être fait si nécessaire :
  1. Cliquez sur l'icône en forme de cadenas dans la barre d'adresse.
  2. Cliquez sur la flèche dans le centre de contrôle :
    unblock mixed content 42
  3. Cliquez sur Désactiver la protection pour l'instant.
    disable protection 42
Pour activer la protection, suivez les étapes précédentes et cliquez sur Activer la protection
Avertissement : débloquer le contenu mixte peut vous rendre vulnérable aux attaques.
Développeurs : si votre site web provoque des erreurs de sécurité en raison de contenus non sûrs, consultez cet article de MDN : Régler le problème du contenu mixte dans un site web.

* SSL Checker online :  https://www.jitbit.com/sslcheck/#


Régler le problème du contenu mixte dans un site web


À partir de Firefox 23, Firefox bloque par défaut le contenu mixte actif. Ce que font également Internet Explorer (depuis la version 9) et Chrome.
Cette page vous explique à quoi vous devez être attentif en tant que développeur web.

Votre site web risque d'être  cassé

Si votre site web propose des pages HTTPS, tous les contenus mixtes actifs proposés via HTTP sur ces pages seront bloqués par défaut. Par conséquent, votre site web apparaîtra cassé aux utilisateurs (si les iframes ou les plugins ne se chargent pas, etc.). Les contenus mixtes passifs seont affichés par défaut, mais les utilisateurs peuvent choisir l'option de bloquer également ce type de contenus.
Remarque : comme les contenus mixtes sont déjà bloqués par Chrome et Internet Explorer, si votre site fonctionne avec ces deux navigateurs, il y a de grandes chances qu'il fonctionne également avec Firefox avec le blocage du contenu mixte.
Dans tous les cas, le meilleur moyen de savoir si quelque chose est cassé avec Firefox c'est de télécharger la dernière version Developer Edition (anciennement Aurora), d'ouvrir diverses pages de votre site web en activant la console web (activez-la à partir des messages de sécurité) et de regarder si elle signale des problèmes de contenus mixtes. Vous pouvez aussi utiliser un sytème d'analyse en ligne comme SSL-check qui parcourt tout votre site web de façon récursive et détecte les liens vers du contenu non sûr. Si aucune alerte à du contenu mixte n'apparaît, votre site web est en bonne santé : bravo et continuez à produire des sites web de bonne qualité !

Comment régler le problème

Le meilleur moyen d'éviter le blocage du contenu mixte c'est de proposer l'intégralité de vos contenus via le protocole HTTPS au lieu d'HTTP.
Pour votre propre domaine, diffusez tous les contenus en HTTPS et modifiez vos liens. Il arrive souvent que la version HTTPS du contenu existe déjà et qu'il suffise d'ajouter un « s » au lien : http:// devient https://.
Pour un autre domaine, utilisez la version HTTPS si elle est disponible. Si ce n'est pas le cas, vous pouvez essayer de contacter l'administrateur du domaine et lui demander de rendre ses contenus disponibles via HTTPS.


Aucun commentaire: