Ce matin, j’ai soudainement remarqué l’icône d’avertissement « Votre connexion n’est pas sécurisée » pour notre forum dans la barre d’adresse de mon navigateur. J’ai assez rapidement tracé la source aux images problématiques en utilisant l’option « Récent », puis en vérifiant simplement les images que les utilisateurs avaient téléchargées. J’ai trouvé deux images (Oneboxed) contenant des liens HTTP au lieu de liens HTTPS. Je les ai supprimées et remplacées par les liens eux-mêmes. Le problème a été résolu immédiatement et nous retrouvons le cadenas de sécurité vert. 
Maintenant, je comprends pourquoi un autre forum dont je suis membre affiche également l’avertissement « Connexion non sécurisée »… de nombreuses personnes ont, au fil des ans, téléchargé des liens provenant de sites HTTP qui étaient Oneboxed. Heureusement, je n’ai pas à m’occuper de ce forum ! 
À moins que les images ne soient très volumineuses, Discourse les télécharge depuis les serveurs distants et les rend locales afin d’éviter qu’elles ne deviennent introuvables, si votre site utilise les paramètres par défaut. C’est un comportement normal de Discourse. Cela présente également l’avantage de rendre les images accessibles en HTTPS.
Nous utilisons une version payante de Discourse avec les paramètres par défaut – je n’ai rien modifié. L’image elle-même ne fait que 18,5 ko. La seule chose qui a déclenché l’avertissement de connexion non sécurisée était la Onebox contenant un lien en http. Dès que je l’ai supprimée, en moins de 2 secondes, l’icône de cadenas est redevenue verte. L’utilisateur a bien téléchargé la photo sauvegardée au-dessus de la Onebox pour l’afficher en plus grand. Cela n’a posé aucun problème. Je peux vérifier quel est le paramètre par défaut.
Édit : J’ai vérifié les paramètres par défaut pour ceci :
- Récupérer les images distantes (case cochée) : Récupérer les images distantes…
- Télécharger les images distantes localement (case cochée) : Convertir les images distantes en images locales en…
Rien n’a été modifié.
Vous pourriez essayer de coller le même lien d’image ici, et nous pourrions jeter un coup d’œil. La seule chose qui me vient à l’esprit et qui pourrait empêcher le téléchargement local, c’est si l’image est très grande.
Je viens de coller le lien et il ne s’affiche pas en Onebox. J’ai également collé un deuxième lien utilisé par l’utilisateur, qui n’a pas non plus généré de Onebox, mais je l’ai supprimé car il contenait son numéro de compte pour télécharger des photos depuis ce site.
C’est étrange qu’il ne veuille pas générer de Onebox ici. Je viens de créer une nouvelle réponse sur notre forum, j’ai collé le lien : il a généré une Onebox et l’icône de cadenas de sécurité est passée immédiatement du vert au noir avec l’icône d’avertissement en forme d’exclamation… et la Onebox affiche maintenant un lien brisé pour la photo.
Édition : Je viens de recevoir un badge pour ma première Onebox… qui n’affiche rien d’autre que le lien ici sur Meta. 
C’est étrange 
.
@nbianca, peux-tu jeter un œil à ça quand tu reviens ?
Le premier badge onebox a été attribué pour des liens qui n’étaient pas oneboxés depuis si longtemps que je pensais que c’était le comportement souhaité. 
Cela ne s’est produit sur mon site qu’après avoir supprimé un lien qui était Oneboxé, mais qui affichait une icône « non sécurisé » dans la barre d’adresse de notre forum. Après avoir publié ce lien ici sur Meta, il n’a pas été Oneboxé, mais m’a tout de même attribué le badge. Autre chose d’étrange : j’ai reposté le lien sur mon site et maintenant il n’est plus Oneboxé ; une icône de « lien brisé » apparaît pour la photo. Je commence à me demander si le lien original – qui comportait le numéro de client de l’auteur initial ajouté à la fin – n’est plus Oneboxé parce que j’ai supprimé l’ID du client. Pourtant, elle avait également publié la même photo et le même lien sans son numéro d’identification dans le même message, et cela a bien été Oneboxé. Cela me laisse vraiment perplexe. Tous les autres liens, que ce soit ceux des autres utilisateurs… ou de l’auteur initial… ont tous été Oneboxés sur mon site depuis lors. C’est uniquement ce lien qui a provoqué cet incident.
Je vais demander à l’auteur initiale – qui est Modérateur – de créer un sujet de test et d’y publier son lien afin de 1) vérifier s’il est Oneboxé, et 2) voir si l’icône « sécurisé » dans la barre d’adresse redevient l’icône « connexion non sécurisée ». Je suis légèrement perplexe.
edit : J’ai créé un sujet caché dans la catégorie Meta de notre site. J’ai demandé au Modérateur de reposter son(ses) lien(s) dans ce sujet (elle dispose également des privilèges d’administrateur). Dès qu’elle aura posté, je vous tiendrai informé ici.
Edit2 : Voici le lien que mon Modérateur a publié dans un sujet de test. Il a bien été Oneboxé et a provoqué à nouveau le changement de l’icône cadenas en « connexion non sécurisée ». Comme vous pouvez le voir, il n’a pas été Oneboxé ici. En revanche, il l’a bien été sur notre site, là où elle l’a publié. J’ai copié le lien et l’ai posté dans notre sujet de test. Il a été Oneboxé, mais sans la photo ! Comme vous pouvez le constater, il n’a pas été Oneboxé ici. Je pense que cela pourrait être lié au cookie de suivi qu’ils ont placé sur l’ordinateur de ma modératrice. Je n’ai pas ce cookie, et la photo ne s’affiche pas pour moi lorsque je Oneboxe le lien.
Avez-vous besoin du lien vers notre sujet de test ? C’est le seul sujet caché dans notre catégorie Meta et il se trouve en haut de la liste. Nous sommes un abonné payant. (forum.nodders.net)
Mon mod a de nouveau téléversé et intégré ses liens dans notre catégorie Meta, et l’icône « Connexion sécurisée » est passée du vert au noir avec l’icône d’avertissement orange. J’ai publié (pour elle) un lien de Mozilla (Firefox) expliquant la différence entre HTTP, HTTPS et le contenu mixte, car elle a affirmé ne voir aucun problème avec le contenu mixte.
Je vais à nouveau supprimer ses liens pour retrouver une connexion sécurisée vers notre forum. Si besoin, je la dérangerai pour qu’elle les republie.
Si cela ne s’affiche pas en une seule boîte ici, il n’y a rien à faire. Votre instance est-elle à jour avec le dernier code ?
J’ai vérifié pour la dernière fois hier, et le tableau de bord avait été mis à jour quelques heures auparavant. Discourse a été mis à jour le 26 juillet… vers la version 2.4.0.beta2 ?
Ce lien semble être le seul à causer ce problème. Je ne sais pas si cela est lié à mon compte de modérateur sur ce site, peut-être à un cookie de suivi qui se « perd » lorsque le lien est intégré dans une boîte ? J’ai supprimé ce lien sur notre site et nous sommes de nouveau sur une « connexion sécurisée » : plus de contenu mixte.
Le problème a été résolu dans :
Lorsque j’ai publié un lien externe, il a tenté de charger l’image mise en avant depuis un chemin non sécurisé, ce qui a entraîné une erreur de contenu mixte.
Solution simple
-
Accédez à /admin/customize
-
Ajoutez le code ci-dessous dans la balise de tous les thèmes actuels.
<meta http-equiv="Content-Security-Policy" content="block-all-mixed-content">
Cela fonctionne sur Chrome, du moins selon mes tests. 