Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Firefox – Certains contenus ne s'affichent plus, certains liens ne s'ouvrent plus.

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
02.01.2015 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Dans Firefox, parfois, certains contenus ne s'affichent plus et une zone vierge les remplace. Lorsque l'on clique sur certains liens d'une page, ils ne s'ouvrent pas alors que d'autres continuent de s'ouvrir. A quoi cela est-il dû ?

Firefox – Certains contenus et liens ne s'affichent plus ou ne fonctionne plus.Firefox – Certains contenus et liens ne s'affichent plus ou ne fonctionnent plus.Ecrire au Webmaster à propos de : Firefox – Certains contenus et liens ne s'affichent plus ou ne fonctionne plus.

Action rapide

Lorsqu'une page Web sécurisée (dont le contenu circule sur le Web de manière chiffrée, en utilisant le protocole httpS) contient des données non chiffrées (non cryptées, en n'utilisant que le protocole http), ce type de diffusion est appelé " contenu mixte ".

Si, et uniquement SI, vous êtes en confiance avec le site visité affichant des contenus mixtes, autorisez l'affichage des contenus bloqués et le suivi des liens http simple en cliquant sur le bouclier qui apparaît à gauche de la barre d'adresse et en désactivant le blocage sécuritaire. Baissez la garde, mais restez vigilant (le contenu non sécurisé peut, par exemple, être celui de publicités trompeuses ou mensongères ou d'escroqueries ou de contaminations ou des liens dangereux insérés par un contributeur dans une discussion, etc. ...).

Firefox – Site sécurisé (https) ou pas ?
Firefox – Site sécurisé (https) ou pas ?

De quoi s'agit-il ?

Il s'agit d'un dispositif de sécurité de Firefox, introduit depuis la version 23.0 du 16 mai 2013, lorsque le protocole HTTPS (Web sécurisé) est employé sur une page, mais que :

  • Certains contenus de cette page proviennent d'une ressource non sécurisée (protocole HTTP s'affichant dans une fenêtre appelée iFrame)
  • Des liens cliquables pointent vers des ressources en utilisant le protocole standard http et non pas le protocole sécurisé httpS.

On peut en faire l'expérience avec le site d'Assiste.com :

Le site Assiste.com est juste un site de contenu, sans aucune donnée, sensible ou non, concernant ses visiteurs. Il n'a donc aucune raison d'utiliser un protocole Web sécurisé (HTTPS). Le site Assiste.com fonctionne uniquement avec le protocole Web simple, non sécurisé, HTTP.

Si vous regardez en bas des pages, il y a une zone de discussion. Cette zone est, techniquement parlant, un cadre (une fenêtre, appelée iFrame) s'ouvrant :

  1. Dans les pages du site assiste.com
  2. Affichant un fil de discussion du forum de discussion assiste.forum.free.fr

Ce contenu est celui d'un autre site, sur un autre serveur.


Faites l'expérience suivante :

Cela fonctionne. Vous aurez une alerte normale vous signalant qu'Assiste.com n'a pas de certificat. Acceptez tout de même.

Regardez, en bas de la page, la zone devant contenir la discussion. Elle est vierge. Le forum ne s'affiche pas.

Regardez aussi, en haut, à gauche de la barre d'adresse. Vous observez la présence d'un bouclier.

  • Cela signifie que le site visité affiche des contenus mixtes, sécurisés et non sécurisés.
  • Cela indique également que Firefox bloque actuellement, sur cette page, les données non sécurisées qui tentent de s'y afficher.

Cliquez sur le bouclier.

Firefox – Certains contenus ne s'affichent plus, certains liens ne s'ouvrent plus.
Firefox – Certains contenus ne s'affichent plus, certains liens ne s'ouvrent plus.

Si vous êtes en confiance avec le site visité, vous pouvez l'autoriser à afficher des contenus non sécurisés dans ses pages sécurisées. Les contenus s'afficheront et les liens dans ces zones seront suivis.

Rappel : Avec httpS, l'accès à un site est-il sécurisé ou pas ?

Vous pouvez souvent utiliser le protocole HTTPS pour accéder à un site qui n'utilise, normalement, qu'HTTP. Il suffit que son serveur soit paramétré pour supporter HTTPS. Par exemple, le serveur d'Assiste.com permet d'accéder au site avec les protocoles HTTP ou HTTPS.

Ne faites pas confiance à la seule présence du protocole HTTPS, car cela ne signifie absolument pas que le site est bien celui qu'il prétend être. Ce peut être une contrefaçon, une usurpation. Vérifiez si le site a un certificat valide.

Si le site n'a pas de certificat d'authentification, il n'y a pas de réelle sécurisation. La certification permet d'avoir une certitude relativement forte que celui qui prétend être le propriétaire du site est bien celui qu'il prétend être. La certitude n'est pas à 100% et certains sites peuvent sembler être ce qu'ils ne sont pas puisqu'il y a :

  • Des bugs et failles côté certificats
  • Des cybercriminels qui se font certifier (le rôle de l'autorité de certification n'est pas de vérifier la qualité de ses clients mais uniquement qu'ils sont bien qui ils prétendent être, ce qui est facile à falsifier).
Firefox – Site sécurisé (https) ou pas ?
Firefox – Site sécurisé (https) ou pas ?

Pour un site comme Assiste.com, le protocole HTTPS n'apporte rien, mais surcharge le serveur et votre ordinateur par les fonctions de chiffrement / déchiffrement.

Pour un site de P2P border line (typiquement, un tracker collectionnant des liens bittorrent de ressources piratées (musiques, films, etc. ...), le protocole HTTPS est nécessaire pour empêcher des attaques de type " Homme du milieu " (Man in the Middle) durant la navigation sur le tracker pour rechercher une ressource piratée (clairement, en France, pour empêcher la cheville ouvrière de l'application de la Loi Hadopi, la société TMG - Trident Media Guard, de vous tracker durant les échanges entre le tracker et votre ordinateur), mais il tombe sous le sens que le propriétaire d'un tracker Torrent ne demandera jamais un certificat d'authentification, attestant qui il est, alors qu'au contraire, il s'agit d'une personne qui se cache. Donc, un tracker P2P a intérêt à fonctionner en HTTPS pour protéger ses visiteurs, mais sans certificat pour ne pas être recherché (ou avec un certificat intraçable).

Lorsque le site utilise des contenus mixtes, HTTPS et HTTP, la partie en HTTP circule en clair sur le Web et expose le visiteur du site à des attaques " Homme du milieu " (Man in the Middle).

Firefox – Qu'est-ce que le contenu mixte ?Firefox – Qu'est-ce que le contenu mixte ?Ecrire au Webmaster à propos de : Firefox – Qu'est-ce que le contenu mixte ?

Lorsqu'une page Web sécurisée (dont le contenu circule sur le Web de manière chiffrée, en utilisant le protocole httpS) contient des données non chiffrées (non cryptées, en n'utilisant que le protocole http), ce type de diffusion est appelé " contenu mixte ".

Si les transmissions sont sécurisées, avec ou sans certificat d'authentification en ce qui concerne le site principal, il n'existe aucune sécurisation des transmissions et aucune authentification de l'acteur derrière un site sans httpS et sans certificat.

HTTPS n'est, parfois, que de la poudre aux yeux, de l'esbroufe. C'est une page vide, en https, servant de cadre d'accueil (technique des iFrame) à du contenu exclusivement en http provenant d'un site sans aucune authentification. Heureusement que le blocage de ce contenu, dans Firefox, fait bien apparaître le risque.

C'est aussi la raison pour laquelle le protocole (http ou https) n'est plus affiché, dans la barre d'adresse, mais uniquement des symboles qualifiant l'ensemble du flux.

Lorsque vous naviguez sur une page Web via HTTP, votre connexion est ouverte aux écoutes et aux attaques dites " Homme du milieu " (Man in the Middle). La plupart des sites de simple contenu utilisent le protocole normal, non sécurisé, HTTP, car, comme c'est le cas pour Assiste.com, aucune donnée sensible, concernant ses visiteurs, ne circule.

Lorsque vous naviguez sur un site dont certaines données qui circulent sont sensibles (privées), comme des données bancaires, le site DOIT utiliser un protocole sécurisé, HTTPS, afin que les circulations de données soient chiffrées, et, accessoirement, obtenir un Certificat électronique d'authentification, en tant que titulaire (propriétaire et opérateur authentifié) du site, par un organisme certificateur tiers.

  • Si un cadenas vert apparaît, la connexion est sécurisée (chiffrée). Elle est protégée des écoutes, en particulier par des attaques dites " Homme du milieu " (Man in the Middle).
  • Si un cadenas gris apparaît, la connexion n'est que partiellement sécurisée. La page contient du contenu sécurisé mélangé à du contenu non sécurisé. La page en HTTPS inclut des données en simple HTTP. Les contenus en simple HTTP, même en apparence contenus dans une page en HTTPS, peuvent être interceptés comme n'importe quelle donnée circulant sur la Web. Ces contenus peuvent, à ce moment-là, être lus sans aucune difficulté puisqu'ils ne sont pas chiffrés (cryptés). Ces contenus peuvent même être modifiés à la volée par des cybercriminels.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Sécurité informatique - Contre-mesuresSécurité informatique - Contre-mesuresSécurité informatique - Contre-mesures

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "