Présence mystérieuse d'éléments indésirables…

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Présence mystérieuse d'éléments indésirables…

    Bonjour à tous.

    J'ai fais quelques modifications sur une copie du site breezingforms.eddy-vh.com et y ai entre autre installé Helix Ultimate en lieu et place de Helix 3.
    Après quelques CSS persos travaillées sur un fichier custom.scss qui se compile en custom.css et satisfaction, j'ai permuté les domaines.

    Jusque là, tout va bien et puis je me suis aperçu que le scroll se faisait en deux temps (sur FF on y voit d'ailleurs deux barres de scroll dont une qui prend presque la hauteur de la fenêtre navigateur).
    Je soupçonne une ou plusieurs iframes (voir capture en lien) que je retrouve en examinant la page avec un inspecteur mais en aucun cas je ne retrouve ces iframes dans le code source de ma page et qui, surtout, n'ont rien à faire là ! Enfer et damnation, serais-je victime de sorcellerie ?

    Avez-vous déjà vu ce type de chose et comment m'en débarrasser. La seule option active concernant les réseaux sociaux est la possibilité de partager un article sur FB, Twitter, G+ et Linkedin.

    Je vous remercie de toute information ou aide à ce sujet, car j'ai cherché des heures hier sans trouver le coupable.

    Infos :
    Joomla! 3.8.8
    Template Helix Ultimate 1.0.2 à jour
    Accès à l'administration protégée par aesecure (free) et par htaccess + htpasswds
    Aucune extension concernant les réseaux sociaux

    Capture : https://dl.dropbox.com/s/ab5drt0i5zd...7_10-14-27.jpg

    Ah oui, bien que ce code d'iframes soit présent lorsque je passe l'aperçu en mobile, le problème de scroll n'apparait pas…
    Dernière édition par Eddy.vh à 07/06/2018, 09h35
    Cordialement.
    __
    Eddy !!!
    Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

  • #2
    Bonjour Eddy

    Jete un oeil à mon script https://github.com/cavo789/joomla_fr...r/src/php_grep

    Ce que je te propose : place ce script à la racine de ton site et exécute-le afin de rechercher dans les fichiers php / js présents sur ton site des mots que tu vois dans le code html des iframes.

    Ainsi, j'ai affiché l'image que tu as posté et on peut voir "Twitter analytics iframe" ou encore "rofous-sandbox" ==> cherche sur un de ces mots histoire de trouver les fichiers qui font cette injection.

    Bonne journée.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Bonjour Eddy,

      Pour info, twitter et facebook utilisent des scripts qui alimentent leur base de données quand on souhaite obtenir des boutons de partage affichant des compteurs de like ou tweet.

      En solution il existe des plugins pour remplacer ces boutons de partage par d'autres plus en accord avec la politique de confidentialité que l'on doit désormais établir.
      Par exemple l'extension JooAg Shariff : https://cinnk.com/blog/news/860-donn...eseaux-sociaux

      Vérifie en desactivant tes boutons de réseaux sociaux ou remplace par le plugin indiqué ci-dessus.


      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

      Commentaire


      • #4
        Christophe. Je connais et utilise souvent php_grep.php. Je n'y ai pas pensé pour ce coup là.

        daneel. Étrangement la config est identique à d'autres sites qui ne présentent pas l'inconvénient.

        Ici pas de like mais seulement des boutons de partage.

        Je vais bien sûr tester ce que tu me proposes mais je doute, vu les autres sites (copie, ou site en construction) pareillement paramétrés sans ce problème.
        Cordialement.
        __
        Eddy !!!
        Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

        Commentaire


        • #5
          Bon. J'ai désactivé les options de partage en mode blog, à part ça, il n'y a rien d'autre qui s'apparente au réseaux sociaux.
          Le problème reste là. Mais ce qui me gratte c'est que l'inspecteur l'aperçoit et que si j'affiche le code source de la page, ce code n'est pas là…

          php_grep.php ne trouve rien non plus… mais d'où vient ce code ?
          Cordialement.
          __
          Eddy !!!
          Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

          Commentaire


          • #6
            php_grep recherche du texte en clair; s'il est crypté (p.ex. base64), aucune chance de le trouver avec cet outil

            As-tu, sinon, des .js qui sont chargés depuis une URL n'étant pas sur ton site ? Si oui, il est donc techniquement possible qu'un .js ajoute au DOM (la structure de ta page) de nouveaux éléments div, span, img, ... et iframe évidemment.

            Là encore php_grep ne saurait trouver cela vu que le .js est stocké sur un autre site que le tien.

            Ce ne sont, ici, que deux suppositions.

            (Tiens, un truc que je n'ai jamais fait comme ça : avec un débogueur comme celui que tu as dans ton navigateur en appuyant sur la touche F12, il est possible de programmer des points d'arrêts (breakpoints) et je pense qu'il est possible de faire un point d'arrêt sur "change on DOM"; si c'est un code JS qui modifie le DOM, tu pourrais le tracer ainsi mais tu traceras aussi quantité de modification comme des changements de classes css, ... bref, un peu compliqué probablement)

            Bonne soirée.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              ? d'une tarteaucitron ?

              https://www.breezingforms.eddy-vh.co...on.services.js
              recherche le terme iframe... ? Ton avis

              Si je ne me trompe pas, le script ne fait pas de blocage mais il intègre les scripts et sert à ajouter d'autres appels activables au consentement.

              Par exemple, on peut utiliser disqus pour la gestion de commentaire mais il faudra nécessairement supprimer l'appel du script dans helix ultimate
              pour que ce soit géré par ce script (dans le code du framework). Ce qui est moyen si tu veux conserver les mises à jour du framework.
              Procédure étape par étape pour installer sur vos sites le script tarteaucitron.js


              Les éléments iframe font donc partie de ceux que tu as choisi d'activer via ce service tarteaucitron.js

              Mais effectivement, à l'origine il n'y a pas de compteur ni même de cookie facebook donc je crois que tu active pour rien ce consentement.
              Désactive ce module (si c'est bien celui que je pense) et liste les cookies installés pour faire le tri avant de reconfigurer cette extension.


              Dernière édition par daneel à 07/06/2018, 20h00
              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

              Commentaire


              • #8
                Daneel, tu as mis le doigt sur le responsable de ces iframes mais après désactivation, ce n'est pas ça qui cause le scroll bizarre. C'est une règle css que j'ai donnée à un type de paragraphe apparaissant au survol d'un lien dans le footer.
                Je viens de m'en apercevoir à l'instant… Je ne cherchais pas au bon endroit.

                Concernant les boutons de partage, lors du clic, il y a demande de connexion par le site en question. Est-ce que cela ne m'oblige pas à signaler l'install de cookies par ces sites depuis le mien ?
                Sinon, je retire en effet…

                Tu peux voir ces boutons de partage sur les articles tuto pour BreezingForms p.ex.
                Cordialement.
                __
                Eddy !!!
                Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                Commentaire


                • #9
                  Envoyé par Eddy.vh Voir le message
                  Concernant les boutons de partage, lors du clic, il y a demande de connexion par le site en question. Est-ce que cela ne m'oblige pas à signaler l'install de cookies par ces sites depuis le mien ? Sinon, je retire en effet…
                  En fait, les cookies ne s'installent pas lors d'une visite de ton site mais uniquement quand la personne décide de partager donc de se retrouver sur les réseaux sociaux.

                  Le mieux, c'est d'indiquer dans la politique sur les cookies mais en aucun cas de les activer inutilement avec le script d'Amauri C. (tarteaucitron.js).


                  Les cookies de partage (liens sociaux)

                  Le Site contient des liens de partage vers Facebook, Twitter et autres réseaux sociaux similaires, qui vous permettent de partager des contenus du Site avec d’autres personnes. Lorsque l’Utilisateur utilise ces boutons de partage, un cookie tiers est installé. Si l’Utilisateur est connecté au réseau social lors de sa navigation sur le Site, les boutons de partage permettent de relier les contenus consultés au compte utilisateur.
                  Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                  Commentaire


                  • #10
                    Merci à vous deux pour votre aide et à daneel pour ces infos complémentaires sur ces cookies.
                    Cordialement.
                    __
                    Eddy !!!
                    Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                    Commentaire


                    • #11
                      Palpitant, tout cela !
                      Mais en fin de compte, c'est qui qui installe des tarteauxcitron dans ton site Eddy, une extension tierce ou le template Hélix ?
                      "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                      https://www.graphiquedesign-bf.com/

                      Commentaire


                      • #12
                        Tarteaucitron est un script de gestion des cookies qui permet d'accepter les cookies de tiers comme ceux de Google analytics, les réseaux sociaux, etc. ou pas, c'est malléable et tu peux accepter l'écriture de cookies que tu veux bien accepter et refuser les autres au cas par cas. On en a déjà parlé sur le forum.

                        Dans mon cas, si l'acceptation des cookies n'étant pas nécessaires, comme le signale daneel (alors que je pensais l'inverse), je vais donc les virer…

                        C'est bien entendu moi qui l'ai installé par contre, il semble que j'aie mal compris les cookies tiers et ces boutons de partage m'ont laissé pensé que j'étais dans le devoir de proposer l'acceptation de leurs cookies respectifs…

                        Je n'arrive toujours pas à comprendre pourquoi l'inspecteur du navigateur les voit mais que le code source ne les révèle pas…

                        En tous cas mon problème initial m'aura permis d'en supprimer deux…
                        Dernière édition par Eddy.vh à 08/06/2018, 10h56
                        Cordialement.
                        __
                        Eddy !!!
                        Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                        Commentaire


                        • #13
                          Bonjour Eddy et grand merci d'avoir pris le temps d'expliquer la source et la nature du problème évoqué sur ce topic.

                          En fait, je trouve l'approche du RGPD un peu vague et manquant surtout de synthèse. Je n'y suis pas contraint mais m'y intéresse. Malheureusement, a multitude des recherche à faire prend beaucoup trop de temps. J'ai rejoins le topic RGPD pour parler de ça. Merci.
                          "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                          https://www.graphiquedesign-bf.com/

                          Commentaire


                          • #14
                            Envoyé par GraphiqueDesign Voir le message
                            Je n'y suis pas contraint mais m'y intéresse.
                            Hmmmm, je n'en suis pas si sûr si ton site attire un public européen, il me semble, sauf erreur, que tu doives t'y soumettre également. Mais je ne connais pas toutes tes activités…

                            Cordialement.
                            __
                            Eddy !!!
                            Tutoriels BreezingForms en Français : https://www.breezingforms.eddy-vh.com/

                            Commentaire


                            • #15
                              Envoyé par Eddy.vh Voir le message
                              Je n'arrive toujours pas à comprendre pourquoi l'inspecteur du navigateur les voit mais que le code source ne les révèle pas…
                              Hello Eddy,

                              Pour répondre à tes dernières questions...

                              Quand un fichier javascript est appelé dans une page html, il est executé par le navigateur client.

                              Quand tu lis le code source de la page, le code javascript n'est pas executé alors que si tu cherche via l'inspecteur d'élément, le javascript est déjà interprété au chargement de la page.

                              Le code javascript peut facilement remplacer ou ajouter du contenu html simplement en indiquant l'id d'une div ou autre. On peut aussi le faire en continu (le programme tourne en boucle) avec un temps pour rafraichir le contenu, ce qui evite de recharger totalement la page. C'est comme cela que l'on peut afficher des compteurs des réseaux sociaux, des publicités ciblés ou afficher un "live" des publications sous twitter. C'est aussi le cas pour un support "live chat" comme tawk.to : https://cinnk.com/blog/news/851-assi...ntele-en-ligne

                              Ces services de contenu "gratuits" n'hésitent pas à déposer un cookie, iframe, etc... C'est le cas aussi pour des services comme addthis ou po.st

                              Ton site de tutoriels breezingforms ne contient apparemment rien de cela mais seulement des liens pour partager vers les réseaux sociaux à travers une fenêtre modale donc il convient de faire la part des choses et de l'indiquer également dans la politique de confidentialité au même titre par exemple que l'intégration de video youtube, de plan google map...

                              Cela bien évidemment répond uniquement à ta question mais il y a d'autres éléments à gérer nécessitant le consentement pour les cookies comme google analytics. A toi de vérifier si le script installé fonctionne parfaitement et d'autoriser le visiteur à changer de décision à tout moment.

                              Je vais publier un article pour résumer cela.


                              GraphiqueDesign aime ceci.
                              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X