AnsweredAssumed Answered

[Coup de gueule] Alfresco community et HTTPS

Question asked by bertignac on Oct 8, 2008
Latest reply on Oct 9, 2008 by bertignac
Bonjour,

Je vais lever un sujet houleux je pense, mais je me lance.

Lorsqu'on utilise Alfresco avec du SSL, en HTTPS donc, et qu'on y accède avec Internet Explorer, on a la mauvaise surprise d'avoir des warnings (du type secure and non-secure items) à chaque clic sur une page. Après quelques recherches, on trouve des choses pas très sympathiques pour un soft opensource. Il se trouve que la banderolle en bas où il y a le logo "community"  est en fait un mouchard. Je m'explique :

- L'erreur précédente laisse penser que des références à des parties en HTTP (et non HTTPS) sont faites à partir du client Internet Explorer
- Après analyse sur le poste client, il se trouve que à chaque clic, une image est chargée depuis le site http://www.alfresco.com (je n'ai pas vérifié laquelle, surement minuscule, mais elle est là). Elle provoque les warnings en question. Ca permet je suppose à alfresco de compter ses utilisateurs de la version communautaire, voire l'activité qu'il y a sur des sites (cette image n'est pas cachable), enfin peu importe ce qu'ils en font, le principe en lui-même est mal selon moi.
- On regarde donc  sur le serveur. Rien, tout ceci a l'air bien enrobé et est dissimulé dans les communications "serveur alfresco" vers "client IE". Pas possible donc de modifier le trafic à la volée, ne serait-ce que pour faire du https sur ceci au lieu du http, ou bien rediriger ailleurs, ou d'enlever cette référence.
- Ceci étant fait généré sur chaque client IE, même en envisageant un proxy qui capture cette requête et qui en fait quelque chose, c'est trop tard le warning est déjà généré sur le client IE.

Bref, c'est pas évident, on se croirait à debugguer un soft propriétaire.

On peut désactiver cette sécurité au niveau d'IE, mais je ne veux pas : je ne contrôle pas la sécurité de tous les IE qui vont consulter mon site alfresco.

J'ai lu sur un forum anglais que ceci est modifiable en prenant les sources d'alfresco, et en recompilant une partie. Soit, mais sur le principe, pour un soft opensource, je trouve ça très limite: on voit bien la volonté de cacher ce code. Je ne cherche pas à enlever la bannière inférieure (ca m'est égal, elle fait de la pub, elle est la pour montrer qu'il y a une version payante avec du support etc…, ok), mais à pouvoir utiliser la version communautaire correctement. Et ceci m'en empêche.

Est-ce que quelqu'un sait comment résoudre ce problème ou bien pourquoi on a cette stupidité dans le code ?

Merci
B.

Outcomes