Ce forum est en partie financé par l’affichage de publicités. Merci de désactiver votre bloqueur de publicités pour nous permettre de continuer à fournir ce service.

Safari top sites et https

Discussion dans 'FAI et réseau Mac' créé par TNK, 18 Avril 2010.

Modérateurs: Nephou
  1. TNK

    TNK Membre émérite

    Inscrit:
    29 Juillet 2004
    Messages:
    653
    J'aime reçus:
    84
    Bonjour

    Safari 4.0.5 réinstallé après avoir supprimé tous les fichiers de préférences et autres.
    OS 10.5.8

    Correction des permissions effectuées sur le disque.

    Depuis une date indéterminée, Top list n'enregistre plus les images des sites https, juste le logo Safari.

    Une idée?
     
  2. pascalformac

    pascalformac Légende
    Club MacG

    Inscrit:
    23 Novembre 2003
    Messages:
    58 699
    J'aime reçus:
    1 815
    bonjour lembre émerite

    il y a erreur de section

    table d'orientation des forums macg

    ce fil sera déplacé ou fermé par un modo -> C'est parti !


    et ca te fait ca sur toutes sessions?
     
  3. TNK

    TNK Membre émérite

    Inscrit:
    29 Juillet 2004
    Messages:
    653
    J'aime reçus:
    84
    Oui, sur toutes les sessions
     
  4. pascalformac

    pascalformac Légende
    Club MacG

    Inscrit:
    23 Novembre 2003
    Messages:
    58 699
    J'aime reçus:
    1 815
    et t'as fait la maj combinée?
     
  5. Moonwalker

    Moonwalker Dark Star
    Club MacG

    Inscrit:
    22 Avril 2006
    Messages:
    19 988
    J'aime reçus:
    2 753
    Inutile.

    Ceci est parfaitement normal.

    https

    s = security

    La vignette top site affiche un cadenas.
     
  6. TNK

    TNK Membre émérite

    Inscrit:
    29 Juillet 2004
    Messages:
    653
    J'aime reçus:
    84
    Heuhh, tu plaisantes sans doute?

    Faire une copie d'écran d'un site web représenterait donc une atteinte de sécurité? My God, faut que j'en parle à mon chien :love:

    Surtout qu'avant les deux derniers updates de sécurité, cela fonctionnait.

    Ah oui, tiens, et puis ça fonctionne avec Snow Leopard

    J'ai déclaré le bug à Apple sur leurs forums, parce que je ne suis plus le seul avec ce problème et que je l'ai constaté sur plusieurs machines.

    Allez, Moonwalker, passe moins de temps sur la lune et reviens parmi nous!! :zen:
     
  7. Moonwalker

    Moonwalker Dark Star
    Club MacG

    Inscrit:
    22 Avril 2006
    Messages:
    19 988
    J'aime reçus:
    2 753
    Ben non ça ne fonctionne pas forcément sur Snow Leopard, tu n'as qu'à explorer l'historique, tous les sites https sont verrouillés.

    Il ne s'agit pas d'une simple "copie d'écran d'un site web". Safari se connecte aux sites via le module Safari Preview Fetcher pour les mettre à jour. Si tu fais une identification par mot de passe ça ne marchera pas forcément.

    Et puis démerde toi avec ton chien si t'es si malin.
     
  8. TNK

    TNK Membre émérite

    Inscrit:
    29 Juillet 2004
    Messages:
    653
    J'aime reçus:
    84
    Merci d'avoir autocensuré ton message dont j'ai reçu par mail l'original...

    J'avoue ne pas savoir exactement comment fonctionne "les entrailles" de top sites, et si effectivement le module Safari Preview Fetcher est utilisé...

    Ce que je sais, c'est que les images des sites web sont stockées dans ~/Library/Caches/Webpage Previews

    que ce sont bien des images stockées en deux formats jpeg et png, et qu'il faut être un développeur sacrément vicelard pour faire autre chose qu'une copie de fenêtre pour une fonctionnalité qui n'est malgré tout qu'un "gadget" et dont le résultat n'est qu'une image.

    Pour info, les sites https dont je parle sont les pages d'accueil de banques ou autres webmails, et non après authentification.

    Je veux bien admettre que faire des copies d'écran de données confidentielles peut constituer une "faille".
    Mais si la fonctionnalité top sites a un quelconque intérêt, j'aurais souhaité qu'on me laisse le choix de stocker ou pas ces images, ou qu'on me prévienne, mais pas qu'on prenne la décision à ma place.

    Si top sites reste en l'état, fin d'utilisation.

    Quant au ton de ta réponse, il y avait suffisamment de smileys pour que cela ne soit pas pris sérieusement. Mais les habitués des forums dérapent si souvent....

    Mes amitiés à proxima du centaure. Et mes excuses pour t'avoir fait dépasser ton quota...
     
  9. Moonwalker

    Moonwalker Dark Star
    Club MacG

    Inscrit:
    22 Avril 2006
    Messages:
    19 988
    J'aime reçus:
    2 753
    Bon. Tu auras compris que, malgré tes smiley, je n'ai pas gouté le style de ton message.

    Je ne prétends pas avoir forcément raison. J'avance une explication que tu es libre de rejeter sans employer la dérision.

    Néanmoins, je constate :
    — les pages https ne sont pas accessibles en aperçu dans l'historique.
    — Top Sites se connecte aux pages distantes quasiment à chaque fois qu'on fait appel à lui.
    — Un site de banque est d'un fonctionnement particulier lors de l'identification. Je ne sais pas pour la tienne, mais il m'est impossible d'enregistrer l'identification via le carnet d'adresse et l'auto-remplissage n'est pas actif contrairement à certains forum (je trouve cela très bien car des failles ont déjà été exploitées par ce biais).
    — tu signales toi-même que cela se produit suite à une mise à jour de sécurité.

    — Etant en 10.6.3 et + (puisque affinités), je ne peux pas actuellement comparer avec Mac OS X 10.5.8 et +.
    — La page que tu as mis en lien sur le forum Apple s'installe bien dans Top Sites sur Safari 4.0.5 Mac OS X 10.6.3 et +. Mais n'étant pas client de cette banque, je ne procède à aucune identification.
    — La page d'identification de développeur Apple se présente bien dans Top Sites (toujours 10.6.3) sans mes identifiants mais si je cliques dessus, l'auto-remplissage fait son office [je te rappelle que l'auto-remplissage n'est pas actif avec les sites bancaires].

    Un exemple de vulnérabilités auxquelles s'expose le système Top Site. L'article précise bien qu'il fonctionne différemment de ce qu'on trouve dans Chrome ou Opera.
    http://securethoughts.com/2009/08/hijacking-safari-4-top-sites-with-phish-bombs/

    Exemple de discussion qui confirme que https n'est pas accessible en aperçu (pour l'historique) : http://forums.macrumors.com/showthread.php?t=697707

    Je testerais sur 10.5.8 puis 10.5.8 et + dans la journée... avec différentes versions de Safari 4.

    Nota : il vaut mieux faire les rapports de bugs via Safari>Signaler un bogue à Apple que d'espérer le passage d'un ingénieur sur le forum.

    Mes amitiés à ton toutou.
     
  10. Moonwalker

    Moonwalker Dark Star
    Club MacG

    Inscrit:
    22 Avril 2006
    Messages:
    19 988
    J'aime reçus:
    2 753
    J'ai fait quelques essais en 10.5.8.

    Avec Safari 4.0.2, un aperçu https est bien présent si la connexion à la page ne nécessite pas encore l'identification. Les pages auxquelles on n'accède qu'après identification ne sont bien entendu pas visibles dans Top Sites ni dans l'historique.

    Avec Safari 4.0.5 (et secupdate 2010-003), les pages https entrées dans Top Sites dans la version 4.0.2 sont toujours présentes. Si on essaye de nouvelles pages https elles n'apparaissent pas, même sans avoir besoin d'une identification. Idem dans l'historique. C'est une différence avec 10.6.3 où les mêmes pages restent visibles dans Top Sites mais pas dans l'historique.

    Si on inspecte le cache de ~/Library/Caches/com.apple.Safari/Webpage Previews, on retrouve les jpeg et png correspondantes aux https de Safari 4.0.2 mais on n'en retrouve pas pour les https de Safari 4.0.5. Si on retire ses caches, il est impossible de retrouver les aperçus de Top Sites pour les https qu'on avait insérer en Safari 4.0.2, même en accédant à la page.

    En résumé :
    Avec Safari 4.0.5. sur Leopard, il n'y a plus d'enregistrement de vignettes Top Sites pour les pages https, avec ou sans identification. A noter que l'icône qui remplace l'aperçu de la page n'est pas l'image caractéristique des pages https (avec un cadenas).
    Avec Safari 4.0.5 Snow Leopard, il y a toujours un enregistrement de vignette Top Sites pour les pages https mais pas pour l'historique.
    Les pages réclamant une identification ne peuvent s'afficher sans cela.

    Bug ou sécurité ? Les deux. Il y a une procédure qui empêche l'enregistrement des pages https dans l'historique. C'est clairement voulu comme cela. Top Sites par contre présente une différence de fonctionnement entre Safari sur 10.5 et Safari sur 10.6. Cette différence intervient entre Safari 4.0.2 et la mise à jour de sécurité Safari 4.0.5. La persistance de vignettes précédemment réalisées peut avoir caché cette évolution un certain temps puisque du coup elles ne sont pas mises à jour.

    Je me demande d'ailleurs si les choses ne viennent pas de la mise à jour Safari 4.0.3 ?
     
    kena73 aime ça.
  11. TNK

    TNK Membre émérite

    Inscrit:
    29 Juillet 2004
    Messages:
    653
    J'aime reçus:
    84
    Merci infiniment Moonwalker de cette analyse exhaustive.
    C'est très amical de ta part.
    Désolé que mon "humour" initial soit passé à côté, mais quand on ne connaît pas les gens, une simple réponse "c'est normal, le s de https veut dire secure" m'avait un poil désarçonné.
    Porte toi bien
    Thierry
     
Modérateurs: Nephou
Chargement...

iOccasion - Achetez un produit Apple d'occasion

refurb Apple