Safari top sites et https

TNK

TNK

Membre actif
29 Juillet 2004
653
84
64
Saint Maur
www.linux-sottises.net
Bonjour

Safari 4.0.5 réinstallé après avoir supprimé tous les fichiers de préférences et autres.
OS 10.5.8

Correction des permissions effectuées sur le disque.

Depuis une date indéterminée, Top list n'enregistre plus les images des sites https, juste le logo Safari.

Une idée?
 
Moonwalker a dit:
Inutile.

Ceci est parfaitement normal.

https

s = security

La vignette top site affiche un cadenas.
Cliquez pour agrandir...

Heuhh, tu plaisantes sans doute?

Faire une copie d'écran d'un site web représenterait donc une atteinte de sécurité? My God, faut que j'en parle à mon chien :love:

Surtout qu'avant les deux derniers updates de sécurité, cela fonctionnait.

Ah oui, tiens, et puis ça fonctionne avec Snow Leopard

J'ai déclaré le bug à Apple sur leurs forums, parce que je ne suis plus le seul avec ce problème et que je l'ai constaté sur plusieurs machines.

Allez, Moonwalker, passe moins de temps sur la lune et reviens parmi nous!! :zen:
 
Ben non ça ne fonctionne pas forcément sur Snow Leopard, tu n'as qu'à explorer l'historique, tous les sites https sont verrouillés.

Il ne s'agit pas d'une simple "copie d'écran d'un site web". Safari se connecte aux sites via le module Safari Preview Fetcher pour les mettre à jour. Si tu fais une identification par mot de passe ça ne marchera pas forcément.

Et puis démerde toi avec ton chien si t'es si malin.
 
Moonwalker a dit:
Ben non ça ne fonctionne pas forcément sur Snow Leopard, tu n'as qu'à explorer l'historique, tous les sites https sont verrouillés.

Il ne s'agit pas d'une simple "copie d'écran d'un site web". Safari se connecte aux sites via le module Safari Preview Fetcher pour les mettre à jour. Si tu fais une identification par mot de passe ça ne marchera pas forcément.

Et puis démerde toi avec ton chien si t'es si malin.
Cliquez pour agrandir...

Merci d'avoir autocensuré ton message dont j'ai reçu par mail l'original...

J'avoue ne pas savoir exactement comment fonctionne "les entrailles" de top sites, et si effectivement le module Safari Preview Fetcher est utilisé...

Ce que je sais, c'est que les images des sites web sont stockées dans ~/Library/Caches/Webpage Previews

que ce sont bien des images stockées en deux formats jpeg et png, et qu'il faut être un développeur sacrément vicelard pour faire autre chose qu'une copie de fenêtre pour une fonctionnalité qui n'est malgré tout qu'un "gadget" et dont le résultat n'est qu'une image.

Pour info, les sites https dont je parle sont les pages d'accueil de banques ou autres webmails, et non après authentification.

Je veux bien admettre que faire des copies d'écran de données confidentielles peut constituer une "faille".
Mais si la fonctionnalité top sites a un quelconque intérêt, j'aurais souhaité qu'on me laisse le choix de stocker ou pas ces images, ou qu'on me prévienne, mais pas qu'on prenne la décision à ma place.

Si top sites reste en l'état, fin d'utilisation.

Quant au ton de ta réponse, il y avait suffisamment de smileys pour que cela ne soit pas pris sérieusement. Mais les habitués des forums dérapent si souvent....

Mes amitiés à proxima du centaure. Et mes excuses pour t'avoir fait dépasser ton quota...
 
Bon. Tu auras compris que, malgré tes smiley, je n'ai pas gouté le style de ton message.

Je ne prétends pas avoir forcément raison. J'avance une explication que tu es libre de rejeter sans employer la dérision.

Néanmoins, je constate :
— les pages https ne sont pas accessibles en aperçu dans l'historique.
— Top Sites se connecte aux pages distantes quasiment à chaque fois qu'on fait appel à lui.
— Un site de banque est d'un fonctionnement particulier lors de l'identification. Je ne sais pas pour la tienne, mais il m'est impossible d'enregistrer l'identification via le carnet d'adresse et l'auto-remplissage n'est pas actif contrairement à certains forum (je trouve cela très bien car des failles ont déjà été exploitées par ce biais).
— tu signales toi-même que cela se produit suite à une mise à jour de sécurité.

— Etant en 10.6.3 et + (puisque affinités), je ne peux pas actuellement comparer avec Mac OS X 10.5.8 et +.
— La page que tu as mis en lien sur le forum Apple s'installe bien dans Top Sites sur Safari 4.0.5 Mac OS X 10.6.3 et +. Mais n'étant pas client de cette banque, je ne procède à aucune identification.
— La page d'identification de développeur Apple se présente bien dans Top Sites (toujours 10.6.3) sans mes identifiants mais si je cliques dessus, l'auto-remplissage fait son office [je te rappelle que l'auto-remplissage n'est pas actif avec les sites bancaires].

Un exemple de vulnérabilités auxquelles s'expose le système Top Site. L'article précise bien qu'il fonctionne différemment de ce qu'on trouve dans Chrome ou Opera.
http://securethoughts.com/2009/08/hijacking-safari-4-top-sites-with-phish-bombs/

Exemple de discussion qui confirme que https n'est pas accessible en aperçu (pour l'historique) : http://forums.macrumors.com/showthread.php?t=697707

Je testerais sur 10.5.8 puis 10.5.8 et + dans la journée... avec différentes versions de Safari 4.

Nota : il vaut mieux faire les rapports de bugs via Safari>Signaler un bogue à Apple que d'espérer le passage d'un ingénieur sur le forum.

Mes amitiés à ton toutou.
 
J'ai fait quelques essais en 10.5.8.

Avec Safari 4.0.2, un aperçu https est bien présent si la connexion à la page ne nécessite pas encore l'identification. Les pages auxquelles on n'accède qu'après identification ne sont bien entendu pas visibles dans Top Sites ni dans l'historique.

Avec Safari 4.0.5 (et secupdate 2010-003), les pages https entrées dans Top Sites dans la version 4.0.2 sont toujours présentes. Si on essaye de nouvelles pages https elles n'apparaissent pas, même sans avoir besoin d'une identification. Idem dans l'historique. C'est une différence avec 10.6.3 où les mêmes pages restent visibles dans Top Sites mais pas dans l'historique.

Si on inspecte le cache de ~/Library/Caches/com.apple.Safari/Webpage Previews, on retrouve les jpeg et png correspondantes aux https de Safari 4.0.2 mais on n'en retrouve pas pour les https de Safari 4.0.5. Si on retire ses caches, il est impossible de retrouver les aperçus de Top Sites pour les https qu'on avait insérer en Safari 4.0.2, même en accédant à la page.

En résumé :
Avec Safari 4.0.5. sur Leopard, il n'y a plus d'enregistrement de vignettes Top Sites pour les pages https, avec ou sans identification. A noter que l'icône qui remplace l'aperçu de la page n'est pas l'image caractéristique des pages https (avec un cadenas).
Avec Safari 4.0.5 Snow Leopard, il y a toujours un enregistrement de vignette Top Sites pour les pages https mais pas pour l'historique.
Les pages réclamant une identification ne peuvent s'afficher sans cela.

Bug ou sécurité ? Les deux. Il y a une procédure qui empêche l'enregistrement des pages https dans l'historique. C'est clairement voulu comme cela. Top Sites par contre présente une différence de fonctionnement entre Safari sur 10.5 et Safari sur 10.6. Cette différence intervient entre Safari 4.0.2 et la mise à jour de sécurité Safari 4.0.5. La persistance de vignettes précédemment réalisées peut avoir caché cette évolution un certain temps puisque du coup elles ne sont pas mises à jour.

Je me demande d'ailleurs si les choses ne viennent pas de la mise à jour Safari 4.0.3 ?
 
  • J’aime
Réactions: kena73
Merci infiniment Moonwalker de cette analyse exhaustive.
C'est très amical de ta part.
Désolé que mon "humour" initial soit passé à côté, mais quand on ne connaît pas les gens, une simple réponse "c'est normal, le s de https veut dire secure" m'avait un poil désarçonné.
Porte toi bien
Thierry
 

Sujets similaires

Mac à Rosny
Safari: Favoris des groupes d'onglets
Réponses
7
Affichages
1K
Web et e-mail
flotow
flotow
L
Safari bug sur certains sites
Réponses
2
Affichages
2K
Web et e-mail
Luco2501
L
J
Safari & Firefox : impossible de purger les cookies
Réponses
1
Affichages
972
Web et e-mail
Bicus
Bicus
M
HTTPS
Réponses
11
Affichages
2K
FAI et réseau Mac
Operating
Operating
B
Impossible d'accèder à un site web
Réponses
10
Affichages
2K
FAI et réseau Mac
inazuma12
inazuma12
Haut Bas
Back