[Coup de gueule] Alfresco community et HTTPS

bertignac · ‎8 Oct 2008

Bonjour,

Je vais lever un sujet houleux je pense, mais je me lance.

Lorsqu'on utilise Alfresco avec du SSL, en HTTPS donc, et qu'on y accède avec Internet Explorer, on a la mauvaise surprise d'avoir des warnings (du type secure and non-secure items) à chaque clic sur une page. Après quelques recherches, on trouve des choses pas très sympathiques pour un soft opensource. Il se trouve que la banderolle en bas où il y a le logo "community" est en fait un mouchard. Je m'explique :

- L'erreur précédente laisse penser que des références à des parties en HTTP (et non HTTPS) sont faites à partir du client Internet Explorer
- Après analyse sur le poste client, il se trouve que à chaque clic, une image est chargée depuis le site http://www.alfresco.com (je n'ai pas vérifié laquelle, surement minuscule, mais elle est là). Elle provoque les warnings en question. Ca permet je suppose à alfresco de compter ses utilisateurs de la version communautaire, voire l'activité qu'il y a sur des sites (cette image n'est pas cachable), enfin peu importe ce qu'ils en font, le principe en lui-même est mal selon moi.
- On regarde donc sur le serveur. Rien, tout ceci a l'air bien enrobé et est dissimulé dans les communications "serveur alfresco" vers "client IE". Pas possible donc de modifier le trafic à la volée, ne serait-ce que pour faire du https sur ceci au lieu du http, ou bien rediriger ailleurs, ou d'enlever cette référence.
- Ceci étant fait généré sur chaque client IE, même en envisageant un proxy qui capture cette requête et qui en fait quelque chose, c'est trop tard le warning est déjà généré sur le client IE.

Bref, c'est pas évident, on se croirait à debugguer un soft propriétaire.

On peut désactiver cette sécurité au niveau d'IE, mais je ne veux pas : je ne contrôle pas la sécurité de tous les IE qui vont consulter mon site alfresco.

J'ai lu sur un forum anglais que ceci est modifiable en prenant les sources d'alfresco, et en recompilant une partie. Soit, mais sur le principe, pour un soft opensource, je trouve ça très limite: on voit bien la volonté de cacher ce code. Je ne cherche pas à enlever la bannière inférieure (ca m'est égal, elle fait de la pub, elle est la pour montrer qu'il y a une version payante avec du support etc…, ok), mais à pouvoir utiliser la version communautaire correctement. Et ceci m'en empêche.

Est-ce que quelqu'un sait comment résoudre ce problème ou bien pourquoi on a cette stupidité dans le code ?

Merci
B.

michaelh · ‎9 Oct 2008

Bonjour,

Au risque de vous décevoir vous êtes loin de dévoiler un secret, et une recherche ici même donne les recettes pour modifier le bas de page : http://forums.alfresco.com/fr/search.php?keywords=pagetag+java (sachant que l'approche avec le fichier host marche aussi si vous êtes frileux).

Ne vous plaigniez pas, le logo sourceforge fonctionnait de la même manière au départ, sauf que le temps de réponse de leur site posait problème.

Oui, il est fait en sorte que ce ne soit pas trop facile à modifier. Histoire de vérifier que le droit des marques n'est pas violé "par erreur". Parce qu'au risque de vous décevoir encore plus un logiciel libre n'est pas un logiciel au dessus des lois (que ce soit la marque, le droit d'auteur, ou d'autres "détails" de cet ordre). C'est aussi un choix historique puisque la première licence Alfresco interdisait formellement la modification du pied de page jusqu'à la version 2.0 et le passage à la GPL+FLOSS

Renseignez vous sur ce qui fait la différence entre une distribution RedHat et sa variante CentOS par exemple, vous verrez que la défense de la marque et de l'usage du logo sont des choses auxquelles tous les éditeurs de logiciels libres sont très attachées.

Et pour terminer, c'est aussi ce type de règle "stupide" qui vous garantit les 4 libertés associées à la licence GPL …

P.S : Sinon c'est bien la première fois que j'entends qu'on peut débuguer un logiciel propriétaire :wink:

bertignac · ‎9 Oct 2008

Point par point :

"Au risque de vous décevoir vous êtes loin de dévoiler un secret,"

Loin de moi l'idée de dévoiler un secret… j'ai déjà lu plusieurs choses à ce sujet, je sais très bien que ce n'est pas secret, ce qui m'intéresse est de discuter de pourquoi c'est là, et de pourquoi en tant qu'utilisateur ça me gène.

"l'approche avec le fichier host avec le fichier host marche aussi si vous êtes frileux"

Vu que cette modification doit être faite sur le client, ce n'est pas envisageable.

"Ne vous plaigniez pas, le logo sourceforge fonctionnait de la même manière au départ, sauf que le temps de réponse de leur site posait problème."

Euh, ca veut dire que je dois m'estimer heureux que ca aille plus vite ? Ceci est une décision technique qui va à l'encontre des performances du logiciel, et donc de l'utilisateur. Quelle que soit la vitesse du site en question, c'est une mauvaise approche.

"Oui, il est fait en sorte que ce ne soit pas trop facile à modifier"

No comment pour un logiciel libre (avec les quatres libertés)

"Parce qu'au risque de vous décevoir encore plus un logiciel libre n'est pas un logiciel au dessus des lois (que ce soit la marque, le droit d'auteur, ou d'autres "détails" de cet ordre)."

Je sais très bien ce qu'est un logiciel libre. Je ne parle en aucun cas dans mon problème de violer les droits d'auteurs.

"C'est aussi un choix historique puisque la première licence Alfresco interdisait formellement la modification du pied de page jusqu'à la version 2.0."

Idem précedemment : dois-je m'estimer heureux de pouvoir le faire maintenant parce que ce soft a un héritage d'un logiciel qui ne respectait pas la GPL ?? (une partie non modifiable viole la GPL)

"Renseignez vous sur ce qui fait la différence entre une distribution RedHat et sa variante CentOS par exemple, vous verrez que la défense de la marque et de l'usage du logo sont des choses auxquelles tous les éditeurs de logiciels libres sont très attachées."

Oui, firefox et iceweasel aussi, mais je ne parle pas du tout de ça. Comment on fait les développeurs d'iceweasel pour changer les logos de firefox dans le code ? ca m'étonnerait qu'il y ait une telle obfuscation, idem dans n'importe quel logiciel libre.

"Et pour terminer, c'est aussi ce type de règle "stupide" qui vous garantit les 4 libertés associées à la licence GPL …"

Archi-faux : encore une fois, je ne parle pas de droits d'auteur, mais de tracage d'utilisateur caché volontairement dans du code d'un soft qui se veut GPL.

Ne trouvez aucune aggressivité ou attaque personnelle dans mes réponses, je dis tout ceci très cordialement. Et bien qu'appréciant alfresco pour ses nombreuses qualités, je trouve ceci vraiment décevant.

B.

michaelh · ‎9 Oct 2008

dois-je m'estimer heureux de pouvoir le faire maintenant parce que ce soft a un héritage d'un logiciel qui ne respectait pas la GPL ?? (une partie non modifiable viole la GPL)

Sans objet : il n'y avait pas de GPL à respecter avant la version 2.0 puisque Alfresco n'était pas sous GPL.

Oui, firefox et iceweasel aussi, mais je ne parle pas du tout de ça. Comment on fait les développeurs d'iceweasel pour changer les logos de firefox dans le code ? ca m'étonnerait qu'il y ait une telle obfuscation, idem dans n'importe quel logiciel libre.

Obfuscation, rien que ça ? Vous êtes sur d'utiliser le bon mot pour parler de code Java ? Ce n'est pas gentil pour les développeurs je trouve

Sinon si, regardez le code de Firefox puisque vous en parlez : il faut bien une recompilation pour en changer le logo, la marque, et la connexion au site associé à chaque lancement. Ensuite regardez celui de OpenOffice, et dès que ce sera terminé je vous donnerait une liste avec une dizaine de noms en plus …

Archi-faux : encore une fois, je ne parle pas de droits d'auteur, mais de tracage d'utilisateur caché volontairement dans du code d'un soft qui se veut GPL.

Cacher des choses dans un code ouvert, et en plus en discuter depuis des années, c'est en effet un concept osé :roll:
Sinon quel est le rapport avec la GPL ?

Ne trouvez aucune agressivité ou attaque personnelle dans mes réponses, je dis tout ceci très cordialement.

Si on ne voulait pas de discussion on aurait fait d'autres choix de mode de distribution. Et personnellement je suis blindé

bertignac · ‎9 Oct 2008

"C'est aussi un choix historique puisque la première licence Alfresco interdisait formellement la modification du pied de page jusqu'à la version 2.0."

Idem précedemment : dois-je m'estimer heureux de pouvoir le faire maintenant parce que ce soft a un héritage d'un logiciel qui ne respectait pas la GPL ?? (une partie non modifiable viole la GPL)

Sans objet : il n'y avait pas de GPL à respecter avant la version 2.0 puisque Alfresco n'était pas sous GPL.

Pour moi, cette dissimulation a pour but de faire la même chose qu'avant (interdire formellement la modification du pied de page) sous des airs de licences GPL "ouioui, vous pouvez le faire, vous avez le code (mais bonne chance)".

Obfuscation, rien que ça ? Vous êtes sur d'utiliser le bon mot pour parler de code Java ? Ce n'est pas gentil pour les développeurs je trouve
Sinon si, regardez le code de Firefox puisque vous en parlez : il faut bien une recompilation pour en changer le logo, la marque, et la connexion au site associé à chaque lancement. Ensuite regardez celui de OpenOffice, et dès que ce sera terminé je vous donnerait une liste avec une dizaine de noms en plus …

Oui, obfuscation. Et je rappelle encore que je ne veux pas changer ni logo ou copyright, je veux résoudre un problème technique qui me gène dans mon utilisation de l'outil.

Archi-faux : encore une fois, je ne parle pas de droits d'auteur, mais de tracage d'utilisateur caché volontairement dans du code d'un soft qui se veut GPL.

Cacher des choses dans un code ouvert, c'est en effet un concept osé :roll:
Sinon quel est le rapport avec la GPL ?

Bien entendu que l'on peut cacher des choses dans un code, même "ouvert". Pourquoi les logiciels propriétaires ont des algorithmes très avancés lorsqu'il s'agit de vérification de licence dans leur logiciels ? Car ils savent très bien que le logiciel une fois désassemblé est du code ouvert pour les crackeurs (créateurs de cracks j'entends). Ce n'est qu'un référentiel plus bas-niveau, mais c'est la même chose.

Le rapport avec la GPL, et bien c'est l'éthique par rapport à ce traçage et à ce qui est mis en oeuvre pour empêcher de l'enlever. Et comme vous dites si bien :

"Oui, il est fait en sorte que ce ne soit pas trop facile à modifier"

Ca me choque de se défendre de faire du GPL et d'annoncer des choses comme ceci, je vois comme un grand écart avec l'esprit du libre.

Si on ne voulait pas de discussion on aurait fait d'autres choix de mode de distribution.

Même les logiciels propriétaires proposent des forums de discussion ;-)

Bien cordialement,
B.