Page 1 sur 1

Passage à PhpBB 3.1.10

Publié : 11 déc. 2016, 16:46
par pascal
Pour info, nous somme passés à la version 3.1.10.

Pascal

Re: Passage à PhpBB 3.1.10

Publié : 12 déc. 2016, 15:29
par Abraxas
Par contre, je crois que l'on a perdu les avatars et l'affichage du User Agent dans les message.

Re: Passage à PhpBB 3.1.10

Publié : 13 déc. 2016, 07:34
par pascal
Abraxas a écrit :Par contre, je crois que l'on a perdu les avatars et l'affichage du User Agent dans les message.
J'ai renforcé la sécurité des entêtes http envoyés pour la sécurité sur la plupart des sites mozfr, on est passés de F à B+ pour les forums (https://observatory.mozilla.org/analyze ... .mozfr.org). Pour les avatars, je pense que c'est dû à l'interdiction du contenu mixte (pas de sources en http sur nos pages en https), pour les UA je regarderai dans la journée si je peux régler ça.

Re: Passage à PhpBB 3.1.10

Publié : 13 déc. 2016, 07:35
par pascal
je confirme pour les avatars:
> Content Security Policy: Les paramètres de la page ont empêché le chargement d’une ressource à http://www.occultopedia.com/images_/abraxas.jpg (« default-src https: 'unsafe-eval' 'unsafe-inline' »).

Re: Passage à PhpBB 3.1.10

Publié : 13 déc. 2016, 10:38
par pascal
Abraxas a écrit :Par contre, je crois que l'on a perdu les avatars et l'affichage du User Agent dans les message.
L'UA est rétabli, par contre pour les avatars, il faut les mettre sur un site en https ou alors les envoyer sur mozfr directement ou utiliser le service gravatar (je viens d'activer gravatar et les avatars locaux sur le forum).
Votre Navigateur : Mozilla/5.0 (X11; Linux x86_64; rv:53.0) Gecko/20100101 Firefox/53.0

Re: Passage à PhpBB 3.1.10

Publié : 13 déc. 2016, 20:33
par Bob49
Par contre, on ne peut plus mettre des vignettes de captures ou des captures venant de sites qui ne donnent pas d'adresse en Https ! C'est normal aussi, je supposes ?..

Si c'est le cas, à l'avenir, il faudra donner que les liens des images ou trouver un hébergeur d'images qui donne des adresses Https

J'ai vu et testé que ses trois sites.
https://pixsecure.xyz/ est utilisable et donne un lien pour miniature (à mettre tout de même entre ), entre autre. (Cookies non utiles)

https://goopics.net/ est utilisable, mais ne fait pas de lien pour vignette, donc petite capture à donner ou seulement mettre l'adresse. (Cookies voulus)
https://framapic.org , idem... (cookies non utiles)

S'il faut utiliser ses sites sécurisés et si J2m06 tu passes par ici, c'est un peu de boulot pour toi pour rectifier les post-it. :)

@ pascal, pour voir ta tête ( :mrgreen: ), je dois désactivé la protection contre le pistage !.. Tu as le seul avatar à être bloqué et c'était déjà le cas avant la mise à jour du forum. Il vient d'où !
.
.
Votre Navigateur : Mozilla/5.0 (Windows NT 6.0; rv:53.0) Gecko/20100101 Firefox/53.0

Re: Passage à PhpBB 3.1.10

Publié : 13 déc. 2016, 21:43
par Abraxas
On peut pas relaxer la CSP du mixed content pour la balise IMG uniquement ?
Parce que le HTTPS forcé bloque de gros hébergeurs d'images courants comme Imgur.

Re: Passage à PhpBB 3.1.10

Publié : 14 déc. 2016, 09:27
par pascal
Abraxas a écrit :On peut pas relaxer la CSP du mixed content pour la balise IMG uniquement ?
Parce que le HTTPS forcé bloque de gros hébergeurs d'images courants comme Imgur.
J'ai relaxé la CSP pour les images, pour référence, j'ai mis en place ça:

Code : Tout sélectionner

    <IfModule mod_headers.c>
        Header set Content-Security-Policy: "default-src 'self'; script-src 'self'; connect-src 'self'; img-src *; style-src 'self' 'unsafe-inline'; object-src 'none'"
        Header set Strict-Transport-Security: max-age=31536000
        Header set X-Content-Type-Options: nosniff
        Header set X-XSS-Protection: "1; mode=block"
        Header set X-Frame-Options: DENY
    </IfModule>
Votre Navigateur : Mozilla/5.0 (X11; Linux x86_64; rv:53.0) Gecko/20100101 Firefox/53.0

Re: Passage à PhpBB 3.1.10

Publié : 14 déc. 2016, 17:13
par Abraxas
Ah merci, peut-être moins secure mais plus pratique sur un forum. :D
Votre Navigateur : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0