Présence mystérieuse d'éléments indésirables…

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Présence mystérieuse d'éléments indésirables…

    Bonjour à tous.

    J'ai fais quelques modifications sur une copie du site breezingforms.eddy-vh.com et y ai entre autre installé Helix Ultimate en lieu et place de Helix 3.
    Après quelques CSS persos travaillées sur un fichier custom.scss qui se compile en custom.css et satisfaction, j'ai permuté les domaines.

    Jusque là, tout va bien et puis je me suis aperçu que le scroll se faisait en deux temps (sur FF on y voit d'ailleurs deux barres de scroll dont une qui prend presque la hauteur de la fenêtre navigateur).
    Je soupçonne une ou plusieurs iframes (voir capture en lien) que je retrouve en examinant la page avec un inspecteur mais en aucun cas je ne retrouve ces iframes dans le code source de ma page et qui, surtout, n'ont rien à faire là ! Enfer et damnation, serais-je victime de sorcellerie ?

    Avez-vous déjà vu ce type de chose et comment m'en débarrasser. La seule option active concernant les réseaux sociaux est la possibilité de partager un article sur FB, Twitter, G+ et Linkedin.

    Je vous remercie de toute information ou aide à ce sujet, car j'ai cherché des heures hier sans trouver le coupable.

    Infos :
    Joomla! 3.8.8
    Template Helix Ultimate 1.0.2 à jour
    Accès à l'administration protégée par aesecure (free) et par htaccess + htpasswds
    Aucune extension concernant les réseaux sociaux

    Capture : https://dl.dropbox.com/s/ab5drt0i5zd...7_10-14-27.jpg

    Ah oui, bien que ce code d'iframes soit présent lorsque je passe l'aperçu en mobile, le problème de scroll n'apparait pas…
    Dernière édition par Eddy.vh à 07/06/2018, 10h35
    Cordialement.
    __
    Eddy !!!
    Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

  • #2
    Bonjour Eddy

    Jete un oeil à mon script https://github.com/cavo789/joomla_fr...r/src/php_grep

    Ce que je te propose : place ce script à la racine de ton site et exécute-le afin de rechercher dans les fichiers php / js présents sur ton site des mots que tu vois dans le code html des iframes.

    Ainsi, j'ai affiché l'image que tu as posté et on peut voir "Twitter analytics iframe" ou encore "rofous-sandbox" ==> cherche sur un de ces mots histoire de trouver les fichiers qui font cette injection.

    Bonne journée.
    Christophe (cavo789)
    Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
    Mes logiciels OpenSource : https://www.avonture.be

    Commentaire


    • #3
      Bonjour Eddy,

      Pour info, twitter et facebook utilisent des scripts qui alimentent leur base de données quand on souhaite obtenir des boutons de partage affichant des compteurs de like ou tweet.

      En solution il existe des plugins pour remplacer ces boutons de partage par d'autres plus en accord avec la politique de confidentialité que l'on doit désormais établir.
      Par exemple l'extension JooAg Shariff : https://cinnk.com/blog/news/860-donn...eseaux-sociaux

      Vérifie en desactivant tes boutons de réseaux sociaux ou remplace par le plugin indiqué ci-dessus.


      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

      Commentaire


      • #4
        Christophe. Je connais et utilise souvent php_grep.php. Je n'y ai pas pensé pour ce coup là.

        daneel. Étrangement la config est identique à d'autres sites qui ne présentent pas l'inconvénient.

        Ici pas de like mais seulement des boutons de partage.

        Je vais bien sûr tester ce que tu me proposes mais je doute, vu les autres sites (copie, ou site en construction) pareillement paramétrés sans ce problème.
        Cordialement.
        __
        Eddy !!!
        Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

        Commentaire


        • #5
          Bon. J'ai désactivé les options de partage en mode blog, à part ça, il n'y a rien d'autre qui s'apparente au réseaux sociaux.
          Le problème reste là. Mais ce qui me gratte c'est que l'inspecteur l'aperçoit et que si j'affiche le code source de la page, ce code n'est pas là…

          php_grep.php ne trouve rien non plus… mais d'où vient ce code ?
          Cordialement.
          __
          Eddy !!!
          Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

          Commentaire


          • #6
            php_grep recherche du texte en clair; s'il est crypté (p.ex. base64), aucune chance de le trouver avec cet outil

            As-tu, sinon, des .js qui sont chargés depuis une URL n'étant pas sur ton site ? Si oui, il est donc techniquement possible qu'un .js ajoute au DOM (la structure de ta page) de nouveaux éléments div, span, img, ... et iframe évidemment.

            Là encore php_grep ne saurait trouver cela vu que le .js est stocké sur un autre site que le tien.

            Ce ne sont, ici, que deux suppositions.

            (Tiens, un truc que je n'ai jamais fait comme ça : avec un débogueur comme celui que tu as dans ton navigateur en appuyant sur la touche F12, il est possible de programmer des points d'arrêts (breakpoints) et je pense qu'il est possible de faire un point d'arrêt sur "change on DOM"; si c'est un code JS qui modifie le DOM, tu pourrais le tracer ainsi mais tu traceras aussi quantité de modification comme des changements de classes css, ... bref, un peu compliqué probablement)

            Bonne soirée.
            Christophe (cavo789)
            Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
            Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
            Mes logiciels OpenSource : https://www.avonture.be

            Commentaire


            • #7
              ? d'une tarteaucitron ?

              https://www.breezingforms.eddy-vh.co...on.services.js
              recherche le terme iframe... ? Ton avis

              Si je ne me trompe pas, le script ne fait pas de blocage mais il intègre les scripts et sert à ajouter d'autres appels activables au consentement.

              Par exemple, on peut utiliser disqus pour la gestion de commentaire mais il faudra nécessairement supprimer l'appel du script dans helix ultimate
              pour que ce soit géré par ce script (dans le code du framework). Ce qui est moyen si tu veux conserver les mises à jour du framework.
              https://opt-out.ferank.eu/fr/install/

              Les éléments iframe font donc partie de ceux que tu as choisi d'activer via ce service tarteaucitron.js

              Mais effectivement, à l'origine il n'y a pas de compteur ni même de cookie facebook donc je crois que tu active pour rien ce consentement.
              Désactive ce module (si c'est bien celui que je pense) et liste les cookies installés pour faire le tri avant de reconfigurer cette extension.


              Dernière édition par daneel à 07/06/2018, 21h00
              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

              Commentaire


              • #8
                Daneel, tu as mis le doigt sur le responsable de ces iframes mais après désactivation, ce n'est pas ça qui cause le scroll bizarre. C'est une règle css que j'ai donnée à un type de paragraphe apparaissant au survol d'un lien dans le footer.
                Je viens de m'en apercevoir à l'instant… Je ne cherchais pas au bon endroit.

                Concernant les boutons de partage, lors du clic, il y a demande de connexion par le site en question. Est-ce que cela ne m'oblige pas à signaler l'install de cookies par ces sites depuis le mien ?
                Sinon, je retire en effet…

                Tu peux voir ces boutons de partage sur les articles tuto pour BreezingForms p.ex.
                Cordialement.
                __
                Eddy !!!
                Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                Commentaire


                • #9
                  Envoyé par Eddy.vh Voir le message
                  Concernant les boutons de partage, lors du clic, il y a demande de connexion par le site en question. Est-ce que cela ne m'oblige pas à signaler l'install de cookies par ces sites depuis le mien ? Sinon, je retire en effet…
                  En fait, les cookies ne s'installent pas lors d'une visite de ton site mais uniquement quand la personne décide de partager donc de se retrouver sur les réseaux sociaux.

                  Le mieux, c'est d'indiquer dans la politique sur les cookies mais en aucun cas de les activer inutilement avec le script d'Amauri C. (tarteaucitron.js).


                  Les cookies de partage (liens sociaux)

                  Le Site contient des liens de partage vers Facebook, Twitter et autres réseaux sociaux similaires, qui vous permettent de partager des contenus du Site avec d’autres personnes. Lorsque l’Utilisateur utilise ces boutons de partage, un cookie tiers est installé. Si l’Utilisateur est connecté au réseau social lors de sa navigation sur le Site, les boutons de partage permettent de relier les contenus consultés au compte utilisateur.
                  Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                  Commentaire


                  • #10
                    Merci à vous deux pour votre aide et à daneel pour ces infos complémentaires sur ces cookies.
                    Cordialement.
                    __
                    Eddy !!!
                    Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                    Commentaire


                    • #11
                      Palpitant, tout cela !
                      Mais en fin de compte, c'est qui qui installe des tarteauxcitron dans ton site Eddy, une extension tierce ou le template Hélix ?
                      "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                      https://www.graphiquedesign-bf.com/

                      Commentaire


                      • #12
                        Tarteaucitron est un script de gestion des cookies qui permet d'accepter les cookies de tiers comme ceux de Google analytics, les réseaux sociaux, etc. ou pas, c'est malléable et tu peux accepter l'écriture de cookies que tu veux bien accepter et refuser les autres au cas par cas. On en a déjà parlé sur le forum.

                        Dans mon cas, si l'acceptation des cookies n'étant pas nécessaires, comme le signale daneel (alors que je pensais l'inverse), je vais donc les virer…

                        C'est bien entendu moi qui l'ai installé par contre, il semble que j'aie mal compris les cookies tiers et ces boutons de partage m'ont laissé pensé que j'étais dans le devoir de proposer l'acceptation de leurs cookies respectifs…

                        Je n'arrive toujours pas à comprendre pourquoi l'inspecteur du navigateur les voit mais que le code source ne les révèle pas…

                        En tous cas mon problème initial m'aura permis d'en supprimer deux…
                        Dernière édition par Eddy.vh à 08/06/2018, 11h56
                        Cordialement.
                        __
                        Eddy !!!
                        Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                        Commentaire


                        • #13
                          Bonjour Eddy et grand merci d'avoir pris le temps d'expliquer la source et la nature du problème évoqué sur ce topic.

                          En fait, je trouve l'approche du RGPD un peu vague et manquant surtout de synthèse. Je n'y suis pas contraint mais m'y intéresse. Malheureusement, a multitude des recherche à faire prend beaucoup trop de temps. J'ai rejoins le topic RGPD pour parler de ça. Merci.
                          "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                          https://www.graphiquedesign-bf.com/

                          Commentaire


                          • #14
                            Envoyé par GraphiqueDesign Voir le message
                            Je n'y suis pas contraint mais m'y intéresse.
                            Hmmmm, je n'en suis pas si sûr si ton site attire un public européen, il me semble, sauf erreur, que tu doives t'y soumettre également. Mais je ne connais pas toutes tes activités…

                            Cordialement.
                            __
                            Eddy !!!
                            Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                            Commentaire


                            • #15
                              Envoyé par Eddy.vh Voir le message
                              Je n'arrive toujours pas à comprendre pourquoi l'inspecteur du navigateur les voit mais que le code source ne les révèle pas…
                              Hello Eddy,

                              Pour répondre à tes dernières questions...

                              Quand un fichier javascript est appelé dans une page html, il est executé par le navigateur client.

                              Quand tu lis le code source de la page, le code javascript n'est pas executé alors que si tu cherche via l'inspecteur d'élément, le javascript est déjà interprété au chargement de la page.

                              Le code javascript peut facilement remplacer ou ajouter du contenu html simplement en indiquant l'id d'une div ou autre. On peut aussi le faire en continu (le programme tourne en boucle) avec un temps pour rafraichir le contenu, ce qui evite de recharger totalement la page. C'est comme cela que l'on peut afficher des compteurs des réseaux sociaux, des publicités ciblés ou afficher un "live" des publications sous twitter. C'est aussi le cas pour un support "live chat" comme tawk.to : https://cinnk.com/blog/news/851-assi...ntele-en-ligne

                              Ces services de contenu "gratuits" n'hésitent pas à déposer un cookie, iframe, etc... C'est le cas aussi pour des services comme addthis ou po.st

                              Ton site de tutoriels breezingforms ne contient apparemment rien de cela mais seulement des liens pour partager vers les réseaux sociaux à travers une fenêtre modale donc il convient de faire la part des choses et de l'indiquer également dans la politique de confidentialité au même titre par exemple que l'intégration de video youtube, de plan google map...

                              Cela bien évidemment répond uniquement à ta question mais il y a d'autres éléments à gérer nécessitant le consentement pour les cookies comme google analytics. A toi de vérifier si le script installé fonctionne parfaitement et d'autoriser le visiteur à changer de décision à tout moment.

                              Je vais publier un article pour résumer cela.


                              GraphiqueDesign likes this.
                              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X