Oui iframe externe un iframe venant de jeedom devrait passer normalement.
2 « J'aime »
Oui bien sur il n’est pas possible de faire de distinction la dessus
1 « J'aime »
Bonjour @Loic, je trouve également que ce choix pourrait être délétère a énormément de monde. Actuellement beaucoup contourne la non connexion d’information importante via iframe. J’utilise mes panneau solaire via iframe, mon agenda Google, la météo de l’aéroport etc … Je rejoins l’avis de Mr green cela pourrait être une.option que l’on recommande vivement activée ou quelque chose mis.en.systematique que l’on puisse désactiver a nos risque et périls ?
Cela risque d’être deletaire a pas mal de monde
Mais une case à décocher avec un pop UP avertissant du danger sa doit pouvoir être faisable ?
Je pense que cette decision va vraiment impacter énormément de monde
Pas de soucis faite moi un pr je l’accepterai avec plaisir, de mon coté je n’ai pas la capacité de faire une option pour ca sans un risque que ca plante vos jeedoms mais je n’ai aucun doute que vous allez arriver a fiabiliser le processus.
Personnellement je suis pas dans le milieumais infirmier alors Pr je sais pas ce que sait , tu m’aurais dit TR la sans souci mais cela n’aurais avancé personnes 
. Je trouve juste dommage que cela ne puisse pas être une option de sécurité qui puisse être désactivé par l’utilisateur en âme et conscience et avec un rappel de risques fait par jeedom. Belle journée
Et je suis d’accord avec toi a 1000% mais je n’y arrive pas (essaye de scier la branche sur laquelle tu es tu vas voir ca fait drole et ben on est exactement dans ce cas la). Donc entre rsiquer de voir votre maison sur internet et la perte d’iframe j’ai preferais jouer la carte de la securité. C’est surement une connerie vu vos réactions… Je vais donc voir pour revenir en arrière (pas chez moi bien sur je suis pas fou).
Non ta démarche est juste je pense , l’état impose un détecteur de fumée dans les maisons donc tu dois l’installer mais tu peux le démonter après. Je pense qu’en systématique il faut le faire effectivement et ceux qui veulent prendre le risque puisse le prendre avec des messages avertissement comme il y a déjà quand tu t’apprêtes à toucher a des trucs importants sur jeedom. Clairement le risque est la après chacun a.son âme.et conscience de me prendre.ou pas.
Le soucis c’est que même si vous trouvez la démarche je m’en prend la tete quand même… Vous pensez vraiment que j’aurais mis un tel truc sans une option si l’option avait été possible ? Bien sur que non je sais bien que c’est très impactant pour vous mais j’ai cru (je suis naif) que la sécurité était plus importante que que certain fonction du produit… Mais vu vos retours je suis pas sur de continuer dans mes démarche de sécurisation de vos jeedoms, je vais faire le miens c’est sur car j’ai pas envie qu’un mec se retrouve (trop) facilement avec le contrôle de ma maison.
Surtout que la les iframe c’est vraiment dangereux pour le coup c’est pas pour rien que ca devient interdit partout (meme les navigateurs vont commencer a ignorer les iframes…)
On débat de l’idée 
il n’y a rien de personnel.
Mais effectivement, je pense que ça va embêter énormément d’utilisateurs.
Perso je fais mes wget en php pour afficher, mais ce n’est pas possible pour tout le monde de maîtriser cela, et surtout ce n’est pas faisable avec tous les sites.
1 « J'aime »
T’embête pas je vais revenir en arrière et ne sécurisé que mon jeedom. J’ai trop de truc sur lesquels je dois me battre je peux pas m’en rajouter un de plus… Je pensais bien faire en sécurisant un maximum jeedom surtout par les temps qui court mais je vois bien que ce n’est pas une priorité pour les utilisateurs, je m’incline
@Loic si je peux me permettre, il y a 5/6 intervenants sur ce post et je pense qu’un bon nombre qui ne s’est pas exprimés serait ravis de savoir que leur Jeedom ne risque pas d’être compromis à cause du piratage d’un site sur lequel ils n’ont aucun contrôle, et j’en fais parti !
Si certains sont contres les évolutions de sécurité et qu’il n’est pas possible de le proposer en option comme tu l’as indiqué, alors ils auront le choix de ne plus faire les mises à jour.
A partir du moment où la documentation liée à l’update est suffisamment claire il ne faut pas laisser trainer des failles quand on les connait.
Merci
Bison
2 « J'aime »
Le probleme c’est que vu que personne d’autre s’exprime sur le sujet les 5/6 comme tu dis remportent tous les suffrage et décide donc pour tout le monde…
Déjà écrit plus haut : Faites un sondage, c’est le meilleur moyen d’avoir un retour utilisateur.
Après une chose que je ne comprends pas. Pour la mise en place de la sécurité il y a un restart d’apache à ce moment là ? D’ailleurs si j’ai bien compris cela va toucher aux conf apache ? Donc forcément il y a un restart apache à un moment donné. Je ne vois pas pourquoi un restart apache planterait une box domotique : Au pire avant le restart, il faut mettre un message : Si Jeedom ne réponds plus, redémarrez votre box.
Ensuite @Bison soit rassuré, la « faille » XSS n’est pas nouvelle ^^ ça fait des années que ce procédé existe… Et comme dit plus haut, je n’ai pas encore vu de Jeedom impacté par cela. Et vous ?
Justement il n’y aura pas de mise a jour possible pour ça il faudra resinstaller jeedom depuis une image que l’on propose ou faire la manipulation que l’on mettra en ssh
1 « J'aime »
Hello @Loic,
Alors perso j’avais utilisé un peu quelques iframes pour essayé mais je n’ai pas maintenue ce principe car j’avais déjà pensé que cela pouvais peut être m’apporter des saloperies .
Donc voyant que tu bosse sur cette sécurité je suis pour que jeedom soit bien sécurisé.
De plus l’utilité pour moi de jeedom c’est pour gérer au mieux uniquement la maison.
Donc +1 pour la sécurisation de jeedom et merci pour tous ce que tu fais.
Okkkkk du coup, il n’y a plus de débat. Se sera pour les nouvelles installations (pas les anciennes), et du coup il suffira de le désactiver dans apache pour les nouvelles installation (si besoin).
Et les anciennes install qui voudront la sécu auront une doc à suivre.
C’est parfait
C’est ce que je vous dis depuis le début mais c’est vous qui continuez… La partie iframes sera modification sans avoir à le faire a chaque maj ça nécessitera juste de le faire en ssh et de pas se planter sous peine de perdre tout Apache…
Après pour les autres modifications de sécurité (qui pourront impacter ou pas les iframes je ne sais pas) il ne sera peut pas possible de les supprimer…
De toute façon les prochaines modification de sécurité ne seront sûrement pas dicter par moi mais par une société externe il n’y aura donc rien de négociable la dessus.
1 « J'aime »
Moi j’ai quand même une question
L’iframe est un danger par le fait qu’elle soit utilisée ou simplement le fait qu’elle soit possible ?
Si elle est un danger c’est pas simplement du fait qu’on affiche un site lui même piraté ?
Simple question parce qu’effectivement je tiens à mon iframe, qui me sert pour les caméras (donc de la sécurité aussi et non pas du confort comme tu as pu le le dire et modifier ensuite) mais aussi à la sécurité de jeedom pour l’ensemble de ses utilisateurs
C’est un problème de sécurité du a ce qu’il y a dedans malheureusement je peux pas filtrer local/non local ou même permettre certains URL c’est du tout ou rien.
Après comme dit et redit je le fais pas par plaisir honnêtement la ça m’a plus dégouté de continuer à faire du jeedom pour le grand public que autre chose… Mais car c’est une règle de sécurité que vous pouvez lire partout. Je me suis juste basé sur les site qui font des analyses de site web pour améliorer la note de sécurité
3 « J'aime »
Sauf avis contraire, Loïc ayant répondu plusieurs fois à la question, le sujet est clos.