Content Security Policy bloque une radio (RESOLU)

[relleba]

salut,

Worlwide Radio est installé sur Firefox 82.02
Ce matin, j'ai ce message à propos de RMC :

Radio RMC
This radio station cannot be played due to the Content Security Policy of your browser.
Please use the original site of this radio station for direct listening.
http://rmc.bfmtv.com/

En effet, je peux écouter en direct sur le site. Mais je préfèrerais le faire par l'intermédiaire de Worlwide Radio qui me permets de changer de station aisément.
Quelqu'un aurait une idée sur le pourquoi de cette impossibilité d'écoute ? C'est la seule radio qui fait afficher ce message.

Merci d'avance

[Cucurbitacé]

Bonjour,

Qu’est-ce que c’est Worlwide Radio ?
Vous parlez de "Content Security Policy", utilisez-vous une extension pour les gérer ?

Bien à vous.

[relleba]

Bonjour,

Worl Wide Radio : https://addons.mozilla.org/fr/firefox/a ... ide-radio/

Je viens de faire un essai avec un nouveau profile en installant uniquement WWR. Ça fonctionne (RMC)
Ensuite, j'ai ajouté mon user.js : ça fonctionne

Puis, j'ai remplacé le prefs.js par celui que j'utilise jusqu'ici : le message reviens.

La faute viendrait donc du prefs.js

Et là, ça va être la croix et la bannière car il fait des kilomètres......;

De l'avis d'un expert, quelles genre de lignes pourraient correspondre à la "Security Policy" ???

merci encore d'avance

[relleba]

Je reviens....

Après recherche, je tombe sur ceci :

https://stackoverflow.com/questions/273 ... ser-js-con

Avec cette réponse :
You can turn off the CSP for your entire browser in Firefox by disabling security.csp.enable in the about:config menu. If you do this, you should use an entirely separate browser for testing.

Toujours sur le profile de test, j'ai donc mis à "false" security.csp.enable = plus de message et RMC fonctionne. Voilà donc le "coupable".

Maintenant, reste à savoir si ce "security.csp.enable" est indispensable à la sécurité de Firefox et du reste de l'ordi.....et là, je ne suis pas connaisseur en la matière.

Il est dit aussi :
As an alternative, it should be possible to alter the Content-Security-Policy response header before it gets to your browser (via an HTTP proxy). It is also possible to do this with extensions.

Il existe deux extensions pour Chrome : l'une désactive CSP par tab, l'autre désactive CSP par défaut.

Mais en l'occurrence, WWR ne passe pas par un onglet.
Donc, question ultime : est-ce dangereux/déconseillé de désactiver "security.csp.enable" ?

[lool_lauris]

Salut,

Tu pourrais désactiver toutes tes extensions et n'activer que WWR. Puis réactiver les modules désactivés un à un jusqu'à trouver l'extension coupable.

[relleba]

J'ai essayé d'expliquer (à peu) près clairement au-dessus.
Il ne s'agit pas d'une extension puisque :
1) j'ai utilisé un nouveau profil avec uniquement WWR : ça fonctionne
2) Ensuite j'y ai mis mon user.js : ça fonctionne.
3) Mais lorsque j'y ai mis mon prefs.js : ça ne fonctionne plus.

4) En mettant à "false" security.csp.enable dans about:config, ça fonctionne. Voilà le coupable.

Maintenant, la question est :
est-ce dangereux/déconseillé de désactiver "security.csp.enable" ?

[Cucurbitacé]

Bonjour relleba,

Deux spécialistes en sécurité et vie privée sur Firefox conseillent de l’activer.

► pyllyukko <

► arkenfox <

Bien à vous.

[lool_lauris]

J'ai essayé d'expliquer (à peu) près clairement au-dessus.
Il ne s'agit pas d'une extension puisque :
1) j'ai utilisé un nouveau profil avec uniquement WWR : ça fonctionne
2) Ensuite j'y ai mis mon user.js : ça fonctionne.
3) Mais lorsque j'y ai mis mon prefs.js : ça ne fonctionne plus.

Étant donné que ça fonctionne dans un nouveau profil, que je suppose exempt d'extension (mis à part WWR), c'est bien pour ça que je t'ai proposé, dans ton profil usuel, de désactiver les extensions qui pourraient être présentes.
Tu pourras constater que dans le prefs.js sont listées un certain nombre de lignes relatives aux extensions.

[relleba]

Étant donné que ça fonctionne dans un nouveau profil, que je suppose exempt d'extension (mis à part WWR), c'est bien pour ça que je t'ai proposé, dans ton profil usuel, de désactiver les extensions qui pourraient être présentes.
Tu pourras constater que dans le prefs.js sont listées un certain nombre de lignes relatives aux extensions.

Oui, tu as raison. J'ai aussi testé comme ça en premier avec le profil habituel car c'est la première chose à faire. Mais comme c'est tellement évident (depuis que je pratique Firefox) que je ne l'ai pas précisé.

Deux spécialistes en sécurité et vie privée sur Firefox conseillent de l’activer.
► pyllyukko <

► arkenfox <

Bon,....comme je n'écoute pas cette radio tous les jours, je garde cette ligne sur "true". Si besoin, j'irai directement sur le site RMC.


Merci à tous les deux.