oui, le "mixed content", c'est le fait d'avoir du contenu http dans la page comme les images, fontes, etc... mais pas les liens vers les pages externes.
Par exemple, la popup affiche une image de fond qui est resté en http (donc à corriger) : ....images/pour-add-this-message.jpg
Et je n'ai pas vu d'autres problèmes visibles, donc tu t'en sors très bien ! Bravo !

Afin de confirmer le bon fonctionnement du certificat :
tu peux tester dans ton site avec https://www.ssllabs.com/ssltest/
Résultat : Tu obtiens un A ce qui est suffisant pour ton site. Bravo !

Ce serait parfait avec un A+ sur le test de SSLLabs, mais cela imposerait d'activer notamment le HSTS (HTTP Strict Transport Security : https://www.globalsign.fr/fr/blog/qu...ettre-en-uvre/ ) ce qui n'est pas demandé pour le moment.

Néanmoins, j'ai testé via https://hstspreload.org pour tenter de comprendre ce qui bloque et ce service indique apparemment une "petite erreur" à corriger dans le fichier htaccess. Le HTTPS fonctionne mais logiquement on doit rediriger en premier le http avant d'ajouter www ce qui n'est pas le cas d'après les informations. ( tu peux confirmer cette inversion ? )

Tu dois donc retrouver ces condition+règle(RewriteCond et RewriteRule) dans l'ordre,
rediriger vers le https avant de vérifier si le domaine est précédé de www.

exemple à tester selon l'hebergeur
(repris de https://www.yellowwebmonkey.com/deve...will-ever-need )

En français, cela se traduit très grossièrement par : on active obligatoirement la réécriture (rewriteengine on) puis on vérifie la condition si le https est désactivé (https off) alors on applique la règle de rediriger en https (code redirection 301). On teste ensuite si le domaine n'est pas précédé de www alors on redirige vers www (en redirection 301).

Edit : on peut aussi tester l'équivalence du fil de discussion de stackoverflow que tu évoque

Dans cette version alternative, on utilise le ! pour negatif et ^ pour "début de.." donc !on veut dire le contraire de on donc off et !^www pourrait se traduire par "commence sans www". Bref c'est un peu comme dire la même chose mais cela passe parfois mieux selon ce qui est déjà défini par l’hébergeur. J'espère que mes explications te donnent moins mal au crâne

On peut lire également IfModule mod_rewrite.c au début et /ifmodule à la fin, cela permet d'appliquer ces règles uniquement si le module php rewrite fonctionne, ce qui est généralement le cas mais c'est une précaution supplémentaire pour éviter une erreur 500.

Enfin, je répète qu'il est conseillé de rediriger en https avant d'ajouter www mais ton site fonctionne déjà en https avec www.
Ce n'est que du bonus ! Donc inutile de passer plusieurs heures

Je te conseille de sauvegarder le fichier avant de modifier par l'une de ses propositions (celle de yellowwebmonkey ou celle de stackoverflow). Il faut penser à vider les caches (y compris de son navigateur) pour éviter de perdre du temps, l'erreur la plus fréquente étant d'oublier le cache et de rester sur la version précédente. (je teste souvent le site avec plusieurs navigateurs différents pour contrôler).

Aesecure créé des règles supplémentaires dans le htaccess pour la sécurité et l'optimisation, il faut voir cela avec Christophe ( cavo789 ) ou son site pour les comprendre. Il faut prendre en compte également que l'optimisation de jch optimize que tu utilise créé d'autres règles dans le htaccess et qu'une utilisation combinée imposent soit de faire un choix entre les deux ou de connaître un peu mieux les règles dans le htaccess afin de corriger les invraisemblances ou mauvais paramétrages. Je ne connais pas ce qui est définit dans les autres paramètres choisis dans aesecure mais celle que tu donne précédemment concerne apparemment le répertoire du script en question.

Pour aller un peu plus loin... et Avis aux personnes intéressées ( SimonG cavo789 ... )

Une fois l'ordre respecté dans le htaccess (https et www), on peut envisager de renforcer la sécurité en activant HSTS.
Il suffit généralement d'ajouter cette ligne dans le fichier htaccess :

puis de tester à nouveau via https://hstspreload.org/

Pourquoi respecter cet ordre et activer le HSTS ?

Il y a toujours un laps de temps dans une redirection 301. Si la redirection est en http, il y a également un risque de sécurité d'où la nécessité d'avoir la règle HTTPS en premier. HSTS est une indication dans le header pour forcer la navigateur à charger immédiatement la page en https en ignorant tout appel http donc impossible aux pirates de détourner l'échange crypté.

De plus, les navigateurs et Google poussent les créateurs de sites à accentuer la sécurité et optimiser le temps de chargement de leurs pages web. HSTS accélère le chargement en supprimant ce laps de temps même si ce dernier ne représente que quelques millisecondes.

Comment ?

La première règle dans le htaccess étant de passer de http à https avant de charger le header de la page. Pour supprimer ce temps, Il existe une liste de pré-chargement de site web développé par Chrome et désormais utilisé par la plupart des navigateurs ( https://caniuse.com/#feat=stricttransportsecurity ).

Pour faire partie de cette fameuse liste, pas besoin d'être un grand site ou un expert VIP, il suffit simplement d'être validé avec le test sur https://hstspreload.org/ puis d'accepter de faire partie de cette liste sur ce même site. Vous serez alors sur liste d'attente et ensuite accepté si votre site, votre nom de domaine (et sous-domaines) respectent toutes les conditions requises. Attention, vous pouvez annuler votre inscription mais cela peut prendre beaucoup plus de temps. En gros, il est difficile de faire machine arrière mais le gain est réel.

Pour info aux utilisateurs du CDN Cloudflare : l'activation du HSTS se fait en un clic ! Donc aucune raison de ne pas en profiter

En résumé, très peu d'utilisateurs sont au courant malgré la démocratisation de la procédure.
J'espère toutefois que mes explications vous donneront l'idée de tester et d'appliquer sur vos sites

A toutes fin utiles, tester votre site sur https://observatory.mozilla.org
Les critères de l'observatoire de Mozilla prennent en compte les différents points cités précédemment ainsi que d'autres tout aussi intéressants :

Daneel, j'ai encore besoin de toi !

Le texte en gris suivant est désormais obsolète : j'ai trouvé la solution. Le site refonctionne.
Mais je n'ai toujours pas la redirection www et https dans le bon ordre.

Je viens d'essaye de rectifier le mauvais ordre dans les redirections https et www.
J'ai donc :
a) désactivé la fonction 7.2 de Aesecure (qui active le forçage www) car je ne sais pas à quel moment elle fait intervenir ce forçage
b) réintégré les lignes de forçage www dans mon htaccess, après celles qui force le https

Ainsi, en ligne 59, j'ai le code suivant :

Code:

#Uncomment if want to force HTTPS and if your server can handle it
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Puis en ligne 548 j'ai ce code-ci (repris d'un ancien htaccess, et légèrement différent du code que tu préconises, dis-moi ce que veulent dire les différences et, surtout, si ça pose problème) :

Code:

RewriteCond %{HTTP_HOST} ^mondomaine.fr$
RewriteRule ^(.*)   http://www.mondomaine.fr/$1  [R=301,L]

J'ai fait le test sur un navigateur différent (EDGE), et saisis :
mondomaine.fr
dans la barre d'adresse.
Ça me redirige sur :
https://www.mondomaine.fr/index.php
pourquoi ce index.php !?!

Et le pire, c'est qu'en voyant ça, j'ai refait la manip à l'envers (= réactivé la fonction 7.2 de forçage des www dans aesecure et commenté les lignes 548/549 du htaccess pour ne pas que ça fasse doublon) et... quoi que je saisisse en barre d'adresse de EDGE ou FIREFOX, j'atterris sur https://www.mondomaine.fr/index.php

Au secouuuurs !

PS: hier, je n'ai fait les test que sur Chrome... Je ne me suis donc sans doute pas rendue compte du problème. En effet, je viens de refaire le test sur Chrome : je n'ai pas ce problème de index.php

EDIT 19H06 : c'est beaucoup plus grave que je ne le croyais, car même Chrome est impacté !!
Quand je fais une recherche quelconque sur des mots clefs dont je sais qu'il me feront sortir sous Google, quand je clique sur l'URL affichée dans les SERP... j'atterris sur la page d'accueil du site (avec suffixe index.php).
Non mais là ça craint vraiment !!
Qu'est-ce que j'ai fait ???
Il me semble pourtant qu'hier ça marchait, non ??

EDIT 19H30 : au bord de la crise cardiaque, je me suis souvenue d'un des posts de Daneel dans cette conversation, où il écrivait qu'en théorie, il n'y avait pas besoin de modifier le htaccess pour assurer la redirection https.
J'ai donc tenté le tout pour le tout et commenté les lignes de redirection https dans mon htaccess (enfin, celui d'aesecure), que j'avais décommentées hier.
...
OUF
Tout semble être rentré dans l'ordre.
C'était donc cette redirection qui posait problème.
Le code était le suivant :
Alors que dans un premier temps (avant de m'apercevoir qu'aesecure avait une ligne pour ça, j'avais commencé par ajouter mon propre code dans le htaccess personnel. Mais le code était un chouille différent, avec mixed posé à la fin de la dernière ligne.
Je suis bien incapable de comprendre ce qui s'est passé, ce que je sais c'est que j'ai frôlé l'arrêt cardiaque quand j'ai vu que les résultats de recherche Google ne permettaient plus d'accéder aux pages internes du site...

CONCLUSION : merci Daneel d'avoir précisé dans un de tes posts en page 1 que le htaccess n'avait normalement plus besoin d'être modifié pour assurer la redirection https. Ca m'a sauvé la vie.
Bon, chuis morte, jvais m'coucher.

Merci pour la précision.
J'ai corrigé l'URL de l'image en question, merci du signalement.

J'ai fait une vérification du site sur :


Toutes les pages contiennent des erreurs de mixed content.

J'ai donc pris ma page d'accueil, et ai affiché le code source, pour voir ce qu'il y avait comme occurrence de "http://"

J'en ai trouvé 6 dont 2 que j'ai corrigées + 2 qui sont des commentaires donc sans impact... mais aussi 2 auxquelles j'ai peur de ne pas pouvoir faire grand chose :

Un script Google qui commence par : Un autre truc Google :
Des scripts Google, c'est un comble quand même !
J'ai tenté de trouver l'adresse https de machin html5, mais ça renvoie une erreur.

Une idée ?

Hello,

Logiquement ce serait plutôt :

Ces informations manquantes à la fin de RewriteRule comme [QSA,R=301,L] , ce sont des drapeaux de réécriture
dont la signification peut se trouver dans la documentation d'Apache : https://httpd.apache.org/docs/2.4/fr/rewrite/flags.html
Si tu ne précise pas, cela devient un véritable problème qui se complique un peu plus sur un site en production.

Je suis soulagé que tu est pris le temps de relire mes propos et surpris que tu n'est pas testé les précédentes propositions mais on peut faire une pause
Sachant la difficulté que cela représente, ce n'est pas evident de simplifier l'explication.

Toutefois, les dernières explications que j'ai apporté dans la discussion (HSTS) vont dans le sens du développement de Joomla.
Tu sera certainement soulagé d'apprendre que cela fera partie intégrante de Joomla 4 (prévu nativement et c'est déjà disponible en test pour Joomla 3 en plugin).
Cela veut dire que tu ne sera plus à éditer ton fichier htaccess à l'aveugle mais des paramètres seront intégrés pour activer ou non selon les besoins ce qui sera beaucoup plus simple.
J'espère que ce sera vraiment intégré définitivement car c'est un grand pas vers la simplification.

Bien que j'inclus également ces petits travaux d'optimisation dans mes devis, chacun devrait à l'avenir, pouvoir profiter sans se prendre la tête !
Je te propose de se concentrer sur les autres points et mettre de coté ce qui touche au fichier htaccess pour le moment

oui ce n'est pas Google mais les concepteurs de ton template qui n'ont pas prévu le https.
On retrouve cela dans la plupart des "vieux" templates notamment l'appel à Google Font.

Je te conseille de remplacer



par

Ah ça c'est intéressant, un dictionnaire pour comprendre le jargon de ces codes que je copie-colle à l'aveugle


Ben tu sais j'étais tellement en stress d'avoir perdu le site en production que j'ai cherché la solution la plus rapide pour remettre tout ça en ordre.
Un peu traumatisée, je n'ai pas eu le coeur de faire d'autres expériences....
... en tout cas pour ce soir !


Si j'arrive à rétablir une redirection https puis www dans l'ordre (je pense qu'en l'état actuel, j'ai les 2 redirections actives, dont celle du https "automatique" sans ligne dans le htaccess), je me pencherai sur le HSTS : l'explication que tu en fais donne envie de l'implémenter



Oui, je suis assez d'accord pour le moment
Par où on commence ?
Et comment veux-tu procéder ?
J'ouvre un nouveau sujet pour chaque thème, ça te va ?


D'accord mais... dans quoi je suis censée faire cette modif ?
J'ai regardé dans le index.php et le head.php : perdu !
Une autre idée ?

Merci 1000 fois pour ton aide, et aussi pour toutes ces connaissances que tu partages.
Bonne soirée, et @ bientôt !

Et pourtant...

Fichier index.php de ton template JSN Boot Pro
Ligne 31



remplace

Par

Pour le reste, oui ce serait une bonne idée que tu ouvre un fil avec une question différente et que l'on essaye de garder un fil conducteur.
Ce qui pourrait très bien être repris dans la base de connaissance https://kb.joomla.fr/

Je proposerai bien également d'intégrer l'extension de checklist https://db8.eu/download/component/db8-site-dev
que j'ai traduit il y a déjà deux ans en français avec une todo list personnelle également en français.
https://github.com/pe7er/db8sitedev/...cklist-fr.json
Pourquoi pas établir une todo list pour le GDPR, référencement, monétisation, optimisation, développement, etc...
C'est juste une idée pour l'instant, je verrai suivant la participation et les questions posées.

Je t'invite à ouvrir un autre fil et à clôturer celui-ci car je pense que le sujet du parasitisme est réglé en grande partie

Bonjour,

J'avais les yeux qui croisent c'est pas possible !!
Merci, problème corrigé.
J'en ai découvert quelques autres sur des pages internes (souvent liés à Flexicontent, je vais donc leur poser la question sur leur forum).

Bon, et maintenant ?

Je vais essayer de lister tous les différents points que tu as abordés dans cette conversation, pour qu'on se mette d'accord sur les sujets à ouvrir, OK ?


Les liens intermédiaires :
On peut :
- les rediriger à son tour ou les bloquer d'après la page ou le site référent (http_referer) en htaccess.
(explication pour les pdf : http://tltech.com/info/referrer-htaccess/ )
- ajouter ses propres marqueurs dans ses liens (même dans le pdf ou emails) pour le tracking.

Les "adblock"
Une fois qu'on a préalablement réalisé le tracking dans GA afin de mesurer l'impact et le manque à gagner, on remplace les emplacement par des messages sympathiques pour avertir l'utilisateur que le site qu'il visite vit de la publicité. Certains font un peu plus en affichant une popup un peu agressive ou redirige vers une page explicite... au choix.




RGPD / Politique de confidentialité
Mettre en place une vraie politique de confidentialité comportant bon nombre d'infos dont la présence des différents supports de google (que l'on peut normalement désactiver simplement et sans l'aide d'extension au navigateur) et le changement de mon module affichant la bannière de cookies qui est complètement obsolète (il n'y a plus de conservation de 13 mois pour le consentement et il manque le lien vers ta page politique de confidentialité).

Consentement pour la publicité personnalisée.
Le but étant d'être conforme à la réglementation européenne sans rien perdre (y compris sur les revenus) et de se protéger efficacement contre le parasitisme et dérivée.

Redirection https et www dans le bon ordre
Il est conseillé de rediriger en https avant d'ajouter www
NB: je rappelle que je n'ai pas de ligne dans mon htaccess pour la redirection https (la configuration de Joomla pour forcer le https sur le site et administration a suffi)

Activer le HSTS
Une fois l'ordre respecté dans le htaccess (https et www), on peut envisager de renforcer la sécurité en activant HSTS.
Il suffit généralement d'ajouter cette ligne dans le fichier htaccess :
Code:
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
puis de tester à nouveau via https://hstspreload.org/


Cette liste te parait-elle complète et cohérente ?
Si tu me donnes ton feu vert, je te propose d'ouvrir un sujet pour chaque thème noté ici en gras.

Bonne journée / semaine

Flo

oui, je te laisse le soin de gérer cela

Yann

OK, je m'en occupe.

Par contre, avant de clore CE sujet, j'ai un petit souci avec une ressource https cloudflare, et comme je crois que tu connais bien ce cloudflare (je n'ai pas la moidre idée de quoi il s'agit), je me suis dit que tu avais peut-être une astuce ?
Quand j'inspecte mes pages, j'ai cette alerte :

A parser-blocking, cross site (i.e. different eTLD+1) script, https://cdnjs.cloudflare.com/ajax/li...sewheel.min.js , is invoked via document.write. The network request for this script MAY be blocked by the browser in this or a future page load due to poor network connectivity.

Aurais-tu une idée ?

oui je maitrise très bien Cloudflare mais dans le cas présent, cloudflare se limite à offrir gratuitement ses services aux développeurs pour diffuser leurs scripts js.

Les concepteurs d'extension (ou de templates) incluent des scripts js dans leur code mais parfois le fait de les appeler en externe peut provoquer un ralentissement surtout quand la connexion est mauvaise (le fichier n'est pas physiquement avec ceux du template ou de l'extension mais chargé depuis les serveurs de cloudflare). La solution préconisée est d'ajouter le terme async
(ou defer) pour indiquer de charger de façon asynchrone donc que le téléchargement de la page continue malgré tout.

De plus, c'était prévu depuis longtemps que le téléchargement de fichiers javascript seront tout simplement refusés par Chrome si cela pénalise le chargement sous certaines conditions :

• l’utilisateur est sur une connexion bas débit,
• le script qui est injecté l’est de manière synchrone (absence d’attribut async et defer) et n’est pas en cache sur la navigateur,
• l’instruction est appelée sur la page principale (e.g. les iframes ne sont pas concernées)

source : https://blog.dareboost.com/fr/2016/0...ocument-write/

En résumé, il faut que tu retrouve l'extension qui appelle ce fichier pour le modifier (je ne crois pas que ce soit défini dans le template).

Daneel,

J'ai identifié les fichiers en question (créés par Flexicontent), mais l'éditeur ne semblant pas très motivé pour les modifier, je m'apprête à le faire moi-même.
J'aimerais que tu me confirmes que je fais bien si je modifie :
ainsi :
C'est correct ?

J'ai refais l'inspection sur le site : dans un 1er temps ça avait fait disparaître l'alerte mais... quelques minutes plus tard j'ai à nouveau la même alerte. Comme si je n'avais rien fait...
Tu aurais une idée ?

Bonjour,

désolé ma réponse précédente est sans doute incomplète car l'utilisation de la balise async avec document.write n'est pas possible comme l'explique cet excellent article d'Alsacreations : https://www.alsacreations.com/astuce...ync-defer.html

De plus je vois que l'optimisation de fichiers js par jch optimize n'est pas bien paramétré et certaines erreurs sont liées au fichier généré par cette extension. Le développeur propose aussi sa solution via le paramètre "optimum" : https://www.jch-optimize.net/documen...avascript.html
mais là encore il faut déterminer par des exclusions les fichiers qui ne seront pas différés dynamiquement au chargement. Il faudrait vérifier préalablement que la console du navigateur affiche aucune erreur (donc de depublier ou de desactiver l'optimisation dans jch) avant de modifier les paramètres ou d'exclure un fichier.

En résumé, je ne peux que te conseiller de travailler ton site sans optimisation, de mettre à jour, vérifier et corriger toute erreurs puis d'activer jch uniquement quand ton site est clean.

Je vois pour répondre dans les nouvelles discussions dès que possible

Daneel,
Ne te casse pas la tête : ces alertes n'apparaissent plus (j'avais peut-être mal vidé le cache lors du 1er contrôle).
Bien sûr, je désactive JCH avant de modifier tout fichier js (sinon c'est de toutes façons impossible pour moi de localiser le fichier js incriminé).
Merci.

A bientôt sur les autres posts :

Redirection https et www dans le bon ordre
Activer le HSTS : pourquoi et comment
(post qui soulève pas mal de questions, quelques-uns ayant tenté d'insérer ton code, et cela leur donnant juste une page blanche d'erreur... Il doit manquer quelque chose : vérifie si je n'aurais pas oublié une partie importante de ton message initial !)
Les adblockers et le revenu publicitaire
RGPD, politique de confidentialité, pub personnalisée