Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 19-05-2020 10:13:00

le_lutin
Membre
Lieu : Alsace
Distrib. : Debian 10 Buster
Noyau : 4.19.0-10-amd64
(G)UI : Gnome
Inscription : 01-11-2019

[RÉSOLU] Mailman : blocage et avertissement de sécurité

Bonjour,
sur mon VPS sous Debian 10.4, je gère quelques listes de discussion sous Mailman 2.
Dernièrement, un message a été bloqué, je n'arrive pas à le débloquer.
Il me met le message suivant :

Les informations saisies vont être transmises en clair (sans chiffrement). Elles peuvent donc éventuellement être interceptées et lues lors de leur acheminement.
Voulez-vous vraiment transmettre ces informations ?


Je clique sur Accepter / Continuer, et malgré ça, le message reste bloqué.
Voir la copie d'écran.
1589883545.jpg
L'interface je l'ai basculée récemment en HTTPS.
Qu'en pensez-vous ? merci.

Dernière modification par le_lutin (04-06-2020 11:08:10)

Hors ligne

#2 19-05-2020 10:36:08

Croutons
Membre
Distrib. : Debian10 Buster
Noyau : Linux 4.19.0-9-amd64
(G)UI : Mate
Inscription : 16-12-2016

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

Hello
d’après ce que je vois tu utilise Firefox pour l'opération
perso j'utilise le module htpps Everywhere

Beaucoup de sites web offrent une prise en charge limitée pour le chiffrement via HTTPS, mais la rendent difficile à utiliser. Par exemple, ils peuvent utiliser une adresse par défaut non chiffrée avec HTTPS, ou proposer sur des pages chiffrées uniquement des liens qui retournent sur le site non chiffré.

L’extension HTTPS Everywhere résout le problème en redirigeant toutes les requêtes de ces sites vers HTTPS.


https://www.eff.org/https-everywhere

Je ne sais pas si cela peu résoudre ton soucis


-->les cahiers du debutant<--      WikiDF-->Découvrir les principales commandes Linux<--
L' expérience, c'est le nom que chacun donne à ses erreurs. Oscar Wilde

Hors ligne

#3 19-05-2020 12:04:25

le_lutin
Membre
Lieu : Alsace
Distrib. : Debian 10 Buster
Noyau : 4.19.0-10-amd64
(G)UI : Gnome
Inscription : 01-11-2019

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

Salut,
J'ai essayé avec plusieurs navigateurs : Firefox, Chromium, Falkon. et aussi sur une machine avec Linux Mint.
et aussi sur un Firefox équipé de l'extension HTTPS everywhere … même topo …

Hors ligne

#4 21-05-2020 14:03:22

le_lutin
Membre
Lieu : Alsace
Distrib. : Debian 10 Buster
Noyau : 4.19.0-10-amd64
(G)UI : Gnome
Inscription : 01-11-2019

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

Je me dis qu'il y aurait peut-être une coquille dans le fichier de conf Apache. Le voilà ci-dessous. Ça parle à quelqu'un ? merci.

<VirtualHost *:80>
  ServerName listes.bevr.fr

  RedirectMatch permanent ^/$ /mailman/listinfo

  ErrorLog ${APACHE_LOG_DIR}/listes-bevr.error.log
  CustomLog ${APACHE_LOG_DIR}/listes-bevr.access.log combined env=!dontlog
RewriteEngine on
RewriteCond %{SERVER_NAME} =listes.bevr.fr
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
<VirtualHost *:443>
  ServerName listes.bevr.fr

  RedirectMatch permanent ^/$ /mailman/listinfo

  ErrorLog ${APACHE_LOG_DIR}/listes-bevr.error.log
  CustomLog ${APACHE_LOG_DIR}/listes-bevr.access.log combined env=!dontlog


SSLCertificateFile /etc/letsencrypt/live/listes.bevr.fr/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/listes.bevr.fr/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>
</IfModule>
 

Hors ligne

#5 03-06-2020 12:55:47

DarKou
Membre
Lieu : Bordeaux
Distrib. : Debian Buster
Noyau : stable de chez kernel.org
(G)UI : GNOME 3.30.2 / i3
Inscription : 06-04-2020
Site Web

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

Salut,

Ce que tu peux faire c'est ouvrir les Web Developper Tools (ctrl+shift+i), te placer dans l'onglet Network (ou réseau si tu l'as en Français), appuyer sur la corbeille pour faire du vide et ensuite regarder ce qu'il se passe quand tu cliques sur "Continuer".

Je suppose que ça fait une requête AJAX vers ton serveur avec des infos. Cette requête doit partir en 404 ou autre ce qui explique qu'il ne se passe rien.

Tu peux aussi regarder dans l'onglet Console voir s'il n'y a pas d'erreurs.

Hors ligne

#6 03-06-2020 16:00:28

le_lutin
Membre
Lieu : Alsace
Distrib. : Debian 10 Buster
Noyau : 4.19.0-10-amd64
(G)UI : Gnome
Inscription : 01-11-2019

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

@Darkou, j'ai fait ce que tu dis. Je remarque deux choses :
- dans Console, cette erreur de cookie : Le cookie « membres-bevr+admin » sera bientôt rejeté car son attribut « sameSite » est défini sur « none » ou une valeur invalide, et sans attribut « secure ». Pour en savoir plus sur l’attribut « sameSite », consultez https://developer.mozilla.org/docs/Web/HTTP/Cookies
- dans Réseau, le POST en http, et les GET en https, donc il mixe les deux et je pense que voilà la cause de l'erreur … mais là je ne vois pas comment la corriger …

Dernière modification par le_lutin (03-06-2020 16:00:44)

Hors ligne

#7 03-06-2020 19:01:00

DarKou
Membre
Lieu : Bordeaux
Distrib. : Debian Buster
Noyau : stable de chez kernel.org
(G)UI : GNOME 3.30.2 / i3
Inscription : 06-04-2020
Site Web

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

Regardes si tu n'as pas un fichier de conf propre à mailman et si c'est le cas regarde si tu n'as pas défini l'url vers l'app (qui serait en http du coup).

Hors ligne

#8 03-06-2020 19:24:54

le_lutin
Membre
Lieu : Alsace
Distrib. : Debian 10 Buster
Noyau : 4.19.0-10-amd64
(G)UI : Gnome
Inscription : 01-11-2019

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

J'ai regardé, j'ai trouvé un endroit dans /etc/mailman avec HTTP que j'ai modifié en HTTPS, mais cela ne change rien à l'erreur …
J'ai le sentiment que l'erreur se trouve dans la conf Apache …
J'ai essayé de la simplifier ci-dessous, par rapport à la précédente ci-dessus, mais l'erreur ne change pas …

<VirtualHost *:80>
  ServerName listes.bevr.fr

#  RedirectMatch permanent ^/$ /mailman/listinfo
 
  RewriteEngine on
#  RewriteCond %{SERVER_NAME} =listes.bevr.fr
  RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<VirtualHost *:443>
  ServerName listes.bevr.fr

#  RedirectMatch permanent ^/$ /mailman/listinfo

  Include /etc/letsencrypt/options-ssl-apache.conf
  SSLCertificateFile /etc/letsencrypt/live/listes.bevr.fr/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/listes.bevr.fr/privkey.pem
</VirtualHost>
 

Dernière modification par le_lutin (03-06-2020 19:25:16)

Hors ligne

#9 04-06-2020 07:04:08

DarKou
Membre
Lieu : Bordeaux
Distrib. : Debian Buster
Noyau : stable de chez kernel.org
(G)UI : GNOME 3.30.2 / i3
Inscription : 06-04-2020
Site Web

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

A mon avis tu as un peu trop simplifié ton vhost là scratchhead.gif

Hors ligne

#10 04-06-2020 08:49:49

le_lutin
Membre
Lieu : Alsace
Distrib. : Debian 10 Buster
Noyau : 4.19.0-10-amd64
(G)UI : Gnome
Inscription : 01-11-2019

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

DarKou a écrit :

A mon avis tu as un peu trop simplifié ton vhost là


la version précédente plus haut te paraît mieux ?

Dernière modification par le_lutin (04-06-2020 08:50:08)

Hors ligne

#11 04-06-2020 09:04:03

DarKou
Membre
Lieu : Bordeaux
Distrib. : Debian Buster
Noyau : stable de chez kernel.org
(G)UI : GNOME 3.30.2 / i3
Inscription : 06-04-2020
Site Web

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

A vue d'oeil cette config semble ok :

<IfModule mod_ssl.c>
<VirtualHost *:443>
  ServerName listes.bevr.fr

  RedirectMatch permanent ^/$ /mailman/listinfo

  ErrorLog ${APACHE_LOG_DIR}/listes-bevr.error.log
  CustomLog ${APACHE_LOG_DIR}/listes-bevr.access.log combined env=!dontlog


SSLCertificateFile /etc/letsencrypt/live/listes.bevr.fr/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/listes.bevr.fr/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>
</IfModule>



Avec cette config refait le test que je t'avais dit avec l'inspecteur et regarde la requête qui part (clic dessus) puis regarde ce qu'il se passe dans réponse.

Hors ligne

#12 04-06-2020 09:41:25

le_lutin
Membre
Lieu : Alsace
Distrib. : Debian 10 Buster
Noyau : 4.19.0-10-amd64
(G)UI : Gnome
Inscription : 01-11-2019

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

je viens de trouver la solution. En fait il fallait fixer toutes les URL des listes en HTTPS comme expliqué ici et là, ça fonctionne comme je veux.
Concernant la config Apache, celle que tu proposes me paraît bien, mais pourquoi ne pas remettre la redirection du http vers https ?

Hors ligne

#13 04-06-2020 09:45:45

DarKou
Membre
Lieu : Bordeaux
Distrib. : Debian Buster
Noyau : stable de chez kernel.org
(G)UI : GNOME 3.30.2 / i3
Inscription : 06-04-2020
Site Web

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

Dans ma conf je reprenais juste ta partie pour le https, je n'ai pas regardé pour le http.

Hors ligne

#14 04-06-2020 11:07:02

le_lutin
Membre
Lieu : Alsace
Distrib. : Debian 10 Buster
Noyau : 4.19.0-10-amd64
(G)UI : Gnome
Inscription : 01-11-2019

Re : [RÉSOLU] Mailman : blocage et avertissement de sécurité

J'ai retesté l'accès à toutes les listes, ça fonctionne correctement.
Du coup, ne voulant pas prendre de risque, je suis revenu à ma config Apache précédente. Je garde quand même ta proposition sous le coude au cas où.
En tout cas merci DarKou pour ton aide ! merci.gif
[RÉSOLU]

Hors ligne

Pied de page des forums