Sujet:
Bonjours à tous. 
Sous certains navigateurs (ici Firefox) on trouve un ensemble d'outils intéressants : les outils de développeurs. Parmi eux se trouve la console (outils -> Développement web -> Console Web) qui peut afficher des choses, surtout des logs pour les codes JavaScript.
Voici ce que cette console m'affiche quand je charge la page d’accueil de Indiemag.fr :
Pour ceux qui n'arrive pas à lire :
- utilisation de fonctions JQuery dépréciées,
- Certificat (SSL je suppose ?) chiffré avec SHA-1,
- Contenu venant de facebook bloqué par le système anti-tracking de firefox.
Messieurs les développeurs, votre explication sur ces avertissements/alertes ? 
Note importante : c'est une question à caractère informatif uniquement. Ce n'est pas pour critiquer, étant étudiant, je ne suis pas en position de le faire 
.
Je cherche seulement à comprendre certains choix que font les développeurs pro, ou bien quelles sont les contraintes qui les empêchent de faire tout bien comme on nous apprend à l'école.
Bien cordialement.
Tu peux m'appeler monsieur le développeur, je suis tout seul.
Les fonctions jQuery dépréciées viennent de la version 1.5 utilisée actuellement sur le site. La mise à jour est difficile car l'interface de gestion du site est liée aux versions comprises entre 1.3 et 1.5. La mise à jour de jQuery au delà risquerait donc d'endommager des fonctionnalités de l'administration, notamment. Il faudra probablement que je trouve une façon de faire autrement lorsque les fonctions obsolètes seront définitivement rayées.
Pour le certificat SSL, ça doit venir de Firefox. Le chiffre du site est normalement en TLS 1.2. SHA-1 est en chiffrement alternatif au cas où le TLS 1.2 n'est pas pris en charge ou que les paramètres de sécurités ne l'acceptent pas.
Pour Facebook, on n'a pas trop le choix si on veut proposer un bouton de partage. Tant mieux si Firefox le bloque naturellement.
Trop de stress pour un si petit renard.
Bonjour,
Utiliser les dernières versions de toute les technos n'est en effet pas toujours possible, effectivement. Dans ce cas, je pensais que c'était surtout lié à Drupal ou quelques uns de ses modules.
Quand au certificat, je regarderai de mon coté.
Pour les trackers, ce n'est pas de ta faute. Si tu ne les mettais pas, l'expérience utilisateur s'en trouverait peut-être réduite. Est-ce donc de la faute de facebook/google/amazone/etc... ou de l'utilisateur fainéant qui à la flemme de copier-coller l'adresse d'un article pour le partager ? Je m'arrête là, je ne tiens pas à être vulgaire.
Un autre truc, intéressant :
En cliquant sur [en savoir plus], une page nous explique que charger du contenu avec un protocole non sécurisé ruine l’intérêt d'utiliser un protocole sécurisé pour charger la page elle-même (c'est ce que j'ai compris, libre à toi de me dire ce qu'il en est en réalité)
Cette alerte apparaissait pour mes captures d'écrans. En utilisant https dans l'url, elle n'apparaissait plus. Après avoir testé, il semble que illiweb.com ne permet pas d'user de cette « technique ».
Est-ce si grave que ça ? Au pire quels solutions envisagerais-tu ?
Bien cordialement.
EDIT : Le certificat chiffré en SHA-1 vient de connect.facebook.net et pas d'Indiemag.
J'en changerai à l'occasion.
EDIT-bis: Et aussi de mon hébergeur de fichier ! Honte à moi
jQuery est bien lié à l'interface d'administration de Drupal oui. La limitation vient de là.
Pour le mixed content, c'est en effet le soucis quand on permet aux utilisateurs d'importer leurs contenus depuis un hébergeur via une connexion http et non https, et comme je ne compte pas leur permettre/les forcer à héberger leurs images sur le site (pour assurer l'usage de https), je préfère du mixed content.
Il faut savoir que ce sont les images qui provoquent du mixed content. C'est donc quelque chose de passif et un éventuel "hack" de la connexion ne permettrait donc que de remplacer une image par une autre, ce qui est plutôt limité. Tous les contenus chargés depuis le site (page html, scripts, images...) ou via des contenus externes https (hébergeurs d'image https, vidéos youtube...) restent quant à eux protégés et non remplaçables. Les sessions par exemple restent donc protégées ainsi que l'intégrité globale du site. La connexion reste cryptée pour ces contenus.
Trop de stress pour un si petit renard.
Ok. Merci pour l'info du coup