Yunohost - FreshRSS signale une connexion non sécurisée
21 novembre 2016
09:00
5 messages
TAGS : Https Planet Libre Yunohost Firefox
Si dans votre agrégateur RSS (FreshRSS dans mon cas), vous voyez une erreur ou un avertissement du type de celui de la capture d’écran suivante :
Des éléments de cette page ne sont pas sécurisés (tes que des images)
Le wiki de Mozilla propose une page détaillée sur le pourquoi du comment et en français (traduit par la communauté francophone, merci à eux) Le blocage du contenu mixte avec Firefox. En résumé et dans le cas d’un agrégateur, on agrège des fils RSS de différents sites webs. La page de l’agrégateur qui s’affiche et elle même composé de plein de bouts issu de différentes sources. Et la plupart de ces sources ne proposant pas de connexion https, la connexion et l’affichage du contenu du flux (qui se trouve sur le serveur du site/blog) passe une connexion en http, et donc en clair, au sein du navigateur. Par contre, au moment de la connexion à votre agrégateur, si la connexion est en https, les identifiants et mot de passe sont chiffrés.
Quelles conséquences ça a ? Quelqu’un qui observe le trafic sur votre connexion voit non seulement les sites que vous consultez, mais également le contenu du fil RSS (et donc les pages) que votre agrégateur peut potentiellement vous amener à consulter... La solution ? C’est compliqué. Dans l’idée, il faut avoir son agrégateur hébergé en service caché / hidden service Tor. Mais ce sera le sujet d’un futur billet.
Dans la même rubrique
26 avril 2021 – Voir les mails de Yunohost dans Nextcloud
25 janvier 2021 – Nginx de Yunohost en reverse proxy
10 novembre 2020 – Yunohost - Les mails ne marchent plus d’un seul coup
3 septembre 2020 – De la dépendance d’une instance Yunohost au serveur de Yunohost
24 juin 2020 – Yunohost - Les mails d’administration système et mails automatiques
5 Messages
Yunohost - FreshRSS signale une connexion non sécurisée, Gibbon | 21 novembre 2016 - 11:13 1
Ou alors il faut s’arranger pour que l’aggrégateur récupère tout, mette tout en cache et voilà. Il me semble que TTRSS fonctionne comme ça (mais du coup, ce serait vachement intéressant à vérifier).
Yunohost - FreshRSS signale une connexion non sécurisée, Alkarex | 21 novembre 2016 - 13:26 2
Bonjour !
Dans le cas de sites qui proposent à la fois HTTP et HTTPS, on peut demander à FreshRSS de forcer le HTTPS en ajoutant ces sites à la liste https://github.com/FreshRSS/FreshRSS/blob/master/data/force-https.default.txt (dans un nouveau fichier "force-https.txt").
Autres exemples : cdn.arstechnica.net, koreus.com, lemde.fr, static.lexpress.fr, wired.com, xkcd.com, etc.
Je n’ai pas bien compris la formulation des conséquences. Les conséquences sont qu’un observateur du trafic saura quelles sont les ressources chargées en HTTP (comme les images, vidéos, iframes). Un observateur ne pourra pas voir le contenu de FreshRSS si celui-ci est hébergé en HTTPS. Avec HTTPS ou pas, un observateur pourra savoir de quelles IPs les resources (images...) proviennent. Pour éviter cela, il est possible d’utiliser un proxy pour les ressources, associé à FreshRSS. Voir par exemple l’extension https://github.com/FreshRSS/Extensions/tree/master/xExtension-ImageProxy
Yunohost - FreshRSS signale une connexion non sécurisée, skc | 21 novembre 2016 - 13:31 3
C’est surtout que FreshRSS ou tout autre agrégateur devrait faire proxy pour ce genre de document joint. C’est lui qui a les flux, les droits. Les requêtes n’ont pas à partir du navigateur vers la terre entière.
Yunohost - FreshRSS signale une connexion non sécurisée, Minami-o | 21 novembre 2016 - 22:45 4
Hello,
Ça n’est pas parfait, mais en ce qui concerne les images, il existe une extension FreshRSS qui permet de les proxyfier : Image Proxy.
Par défaut est proposée l’utilisation d’un service libre hébergé par son créateur (voir https://image.weserv.nl), mais il est bien sûr possible de s’autohéberger pour plus de confidentialité.
Je ne sais pas dans quelle mesure YunoHost permet d’ajouter des extensions FreshRSS ou des fichiers externes, mais ça représente seulement quelques fichiers à déposer dans le bon dossier, donc je pense que ça reste du domaine du très faisable…
Grâce à cette extension, en autohébergeant le proxy, je ne reçois quasiment plus ce message d’avertissement, seules quelques ressources média non sécurisées passent au travers des filets.
Yunohost - FreshRSS signale une connexion non sécurisée, lapineige | 22 novembre 2016 - 22:04 5
@Minami-o : merci pour l’info, je ne connaissais pas l’extension, c’est parfait :)
Sur yunohost comme ailleurs, on copie juste le dossier de l’extension, c’est très simple.
Sinon ma "solution" personnelle, c’est d’avoir µMatrix installé, il bloque toute les requêtes d’autres sites.
Au besoin, je passe par Tor pour consulter le contenu.
Pas des plus pratique - l’extension va bien me servir :)