Normes de sécurité des navigateurs Web
Découvrez les mesures prises par eBay pour respecter les nouvelles normes de sécurité et la marche à suivre pour mettre à jour tout contenu non protégé dans vos annonces.
Normes de sécurité des navigateurs Web
Les paramètres de sécurité des navigateurs Web évoluent
Google Chrome—le navigateur Web utilisé par près de la moitié des acheteurs d’eBay—procédera prochainement à la mise à jour de ses normes de sécurité et de la façon dont il affiche la sécurité de la connexion des sites Web. À compter d’octobre 2017, les utilisateurs de Chrome verront la mention « Non sécurisé » (« Not Secure ») dans la barre d’adresse des sites utilisant le protocole HTTP, et des sites utilisant le protocole HTTPS qui comprennent du contenu HTTP. D’autres navigateurs emboîteront certainement le pas à Google et apporteront des changements similaires dans le futur.
Page non sécurisée avant octobre 2017
Page non sécurisée après octobre 2017
Le protocole HTTP, qui signifie Hypertext Transfer Protocol (littéralement « protocole de transfert hypertexte »), gouverne la communication de données sur Internet. Son pendant sécurisé, le protocole HTTPS (le « S » signifie « Secure » ou « Sécurisé »), assure la confidentialité et la sécurité des données en chiffrant les communications de toutes les parties.
eBay agit concrètement pour assurer que les acheteurs ne voient pas la mention « Non sécurisé » lorsqu’ils naviguent sur notre site, et pour protéger les données de nos utilisateurs. eBay.com commencera à utiliser le protocole HTTPS dans toutes ses annonces à compter du mois d’octobre 2017, comme nous l’avons annoncé dans notre Mise à jour pour les vendeurs de l’été 2017. Dans le futur, nous convertirons également les pages des Boutiques eBay au format HTTPS. Les annonces d’eBay.ca commenceront à utiliser le protocole HTTPS au début de 2018.
Vos annonces et vos Boutiques eBay pourraient toujours présenter du contenu HTTP non sécurisé après la conversion d’eBay au protocole HTTPS. Le cas échéant, vous devrez convertir ce contenu HTTP au protocole HTTPS le plus rapidement possible.
Vous trouverez ci-dessous les types de contenus pouvant contenir des URL HTTP non sécurisées qui se retrouvent couramment dans les annonces des vendeurs, les modèles de Boutique et autres.
Contenu HTTP courant
- Images hébergées par un domaine tiers
- Photos au format
- Descriptions d’objets
<img src="https://xyz.com/..." alt="Exemple" height="42" width="42"> - Variantes d’un objet dans les annonces à variété multiple
<img src="https://xyz.com/..." alt="Exemple" height="42" width="42"> - API de commerce (et API associées)
<PictureURL> https://xyz.com/ </PictureURL> - API d’inventaire
"imageUrls": [ "https://xyz.com/" ] - Plateforme d’intégration pour les vendeurs
- Fil de produits
- Fil combiné
- Descriptions d’objets
- Photos au format
- Feuilles de style en cascade (CSS)
- Références aux ressources CSS
- <link rel="stylesheet" type="text/css" href="https://xyz.com/...">
- Références comprises dans les CSS
- body { background-image: url("https://xyz.com/abc.gif"); }
- .banner { background: url("https://xyz.com/banner.png");
- ul { list-style: square url(https://xyz.com/block.png);}
- Références aux ressources CSS
- Fichiers vidéo HTML5
<video width="10" height="10" controls>
<source src="https://xyz.com/" type="video/mp4">
</video> - Fichiers audio HTML5
<audio controls>
<source src="https://xyz.com/" type="audio/mpeg">
</audio>
Consultez la section Détails techniques pour en savoir plus sur les balises moins courantes pouvant contenir des URL non sécurisées.
Comment eBay assure-t-il votre protection?
Nous croyons que les acheteurs sont moins enclins à se procurer un objet si son annonce est qualifiée de « non sécurisée » par leur navigateur. Bien qu’eBay.com commencera à utiliser le protocole HTTPS dans les annonces à compter du mois d’octobre 2017, une page individuelle qui présente du contenu HTTP sera considérée comme non sécurisée par Google Chrome.
Pour assurer que vos acheteurs voient la mention « Sécurisé » après la mise à jour de Google Chrome au mois d’octobre, eBay modifiera l’affichage des descriptions d’objets sur ordinateur.
Dès octobre 2017 à eBay.com et à compter du début de 2018 à eBay.ca, les annonces comprenant du contenu HTTP non sécurisé seront présentées sous forme de récapitulatif, et associées au bouton « Voir la description complète de l’objet », comme illustré ci-dessous. Cette nouvelle présentation est similaire à l’interface actuellement utilisée sur les plateformes mobiles, laquelle ne sera pas modifiée. Les descriptions d’objets qui utilisent uniquement le protocole HTTPS continueront d’être affichées en entier, comme par le passé.
Le code ci-dessous vous permettra de choisir les 800 premiers caractères du texte de description de votre objet.
Note : L’utilisation de « HTTP » selon le schéma de microdonnées http://schema.org ne provoquera pas la mention « Non sécurisé ». schema.org est un vocabulaire reconnu compris par la majorité des navigateurs et des moteurs de recherche. Ce vocabulaire de référence communique simplement au navigateur que le format utilisé est similaire à celui de http://schema.org.
Comment pouvez-vous sécuriser vos annonces?
Heureusement, plusieurs annonces eBay respectent déjà les normes HTTPS, et aucun changement ne sera apporté à leur affichage actuel.
Seules les annonces comprenant du contenu HTTP non sécurisé seront présentées sous forme de récapitulatif, et associées à au bouton « Voir la description complète de l’objet ».
eBay propose aux vendeurs un outil permettant de vérifier la sécurité du contenu de leurs annonces. En modifiant vos annonces de manière à respecter les nouvelles normes de sécurité, vous permettrez aux acheteurs potentiels d’avoir instantanément accès à la description complète de votre objet, comme c’est le cas aujourd’hui.
Comment pouvez-vous assurer la conformité de vos annonces?
Pour retirer de vos annonces tout contenu HTTP non sécurisé et vous assurer que les acheteurs voient la description complète de l’objet dans la page des annonces, suivez les étapes ci-dessous :
- Ciblez vos annonces eBay qui contiennent du contenu HTTP non sécurisé à l’aide de l’outil fourni. eBay a fait équipe avec i-ways pour vous aider à assurer la conformité de toutes vos annonces accessibles par le public. Vous pouvez consulter les annonces individuellement sans devoir entrer votre mot de passe, mais devrez ouvrir une session à l’aide de votre identifiant eBay pour vérifier l’ensemble de vos annonces.
- Si l’outil détecte du contenu non sécurisé, déterminez si le site Web tiers qui héberge votre contenu, communément appelé « domaine », respecte les normes de sécurité plus élevées (HTTPS). Vous pouvez trouver cette information en consultant le site Web du domaine, ou en communiquant directement avec le service à la clientèle de ce dernier. eBay collabore actuellement avec plusieurs domaines pour s’assurer que le plus de sites d’hébergement possible soient prêts à améliorer la sécurité des navigateurs dans la foulée des changements d’octobre.
- Lorsque vous avez confirmé que le domaine qui héberge votre contenu prend en charge le protocole HTTPS, trouvez toutes les occurrences de « HTTP » dans vos annonces et remplacez-les par « HTTPS ». La fonction de modification en bloc offerte par eBay permet d’appliquer ce changement simultanément à 200 annonces.
- Si votre domaine hôte ne respecte pas les nouvelles normes de sécurité, mais que vous souhaitez tout de même que les acheteurs aient accès à votre annonce complète, vous pouvez retirer de votre annonce le contenu hébergé sur le domaine en question. Lorsque le domaine adoptera le protocole HTTPS, vous pourrez réintégrer le contenu à vos annonces.
Si vous utilisez une solution de vente tierce, votre fournisseur pourra vous aider à cibler et à modifier tout contenu non sécurisé et à assurer le respect des normes HTTPS. Si vous avez besoin d’aide supplémentaire, n’hésitez pas à utiliser l’une des solutions ci-dessous, ou l’une des solutions trouvées ici.
Si vous avez besoin d’aide pour cibler et modifier tout contenu non sécurisé, les solutions de fournisseurs tiers suivantes peuvent vous aider.
Fournisseur de services | Limite d’annonces | Plans |
---|---|---|
Auctiva |
< 100,000 |
- Essai gratuit |
ChannelAdvisor |
Jusqu’ à plusieurs millions |
- Contact for more details |
CrazyLister |
< 100,000 |
- Essai gratuit |
DemandStream, by CommerceHub |
< 100,000 |
- Plus de détails |
Frooition |
Jusqu’ à plusieurs millions |
- Essai gratuit |
GarageSale by iwascoding |
< 100,000 |
- Essai gratuit |
Sellbrite |
< 100,000 |
- Essai gratuit |
Seller Sourcebook |
Jusqu’ à plusieurs millions |
- Frais d’inscription mensuels |
ShipScript |
< 100,000 |
- Gratuit ou par don |
SixBit |
< 100,000 |
- Essai gratuit |
Vendio |
< 1,000,000 |
- Essai gratuit |
Échéancier
Site des États -Unis
À compter d’octobre 2017, eBay convertira toutes les annonces au contenu HTTPS sécurisé :
- Les annonces présentant du contenu HTTP non sécurisé seront associées au bouton « Voir la description complète de l’objet », comme illustré ci-dessus.
- Les annonces respectant les normes de sécurité HTTPS ne seront pas modifiées.
Sites canadien et internationaux
À compter d’octobre 2017, eBay convertira les annonces comme suit :
- Les annonces comprenant du contenu HTTP seront présentées sous forme de page HTTP standard, et leur description ne sera pas modifiée. Toutefois, l’URL dans la barre de navigation de Chrome et d’autres navigateurs pourrait comprendre l’icône (i) et la mention « Non sécurisé », comme illustré ci-dessus.
- Les annonces respectant les normes de sécurité HTTPS ne seront pas modifiées.
À compter de février 2018, les sites canadien et internationaux d’eBay adopteront la même politique que le site américain :
- Les annonces présentant du contenu HTTP non sécurisé seront associées au bouton « Voir la description complète de l’objet&nsp;».
- Les annonces respectant les normes de sécurité HTTPS ne seront pas modifiées.
Détails techniques
On qualifie de « contenu mixte » le contenu d’une page HTTPS sécurisée qui présente du contenu HTTP non sécurisé. La présence de contenu mixte déclenchera la mention « Non sécurisé » de Google Chrome.
Les balises d’ancrage (<a href=url>) ne sont pas traitées comme un contenu mixte. Les URL HTTP standards comprises dans les balises d’ancrage seront encore prises en charge. Veuillez noter que les balises d’ancrage doivent toujours respecter le règlement sur les hyperliens d’eBay.
Pour respecter la politique de l’industrie relative au contenu mixte, les balises suivantes doivent comprendre des URL HTTPS lorsqu’elles figurent sur une page HTTPS sécurisée :
Balises HTTPS requises
- Images
<img src="https://xyz.com/" alt="Exemple" height="42" width="42"> - Feuilles de style
- Références aux ressources CSS : <link rel="stylesheet" type="text/css" href="https://xyz.com/...">
- Références comprises dans les CSS :
body { background-image: url("https://xyz.com/abc.gif"); }
.banner { background: url("https://xyz.com/banner.png");
ul { list-style: square url(https://xyz.com/block.png);}
- Fichiers vidéo
<video width="10" height="10" controls>
<source src="https://xyz.com/" type="video/mp4">
</video> - Fichiers audio
<audio controls>
<source src="https://xyz.com/" type="audio/mpeg">
</audio> - API et fils
- API de commerce, pour les UGS uniques, et les variétés et les fils multiples :
<PictureURL> https://xyz.com/ </PictureURL> - API d’inventaire : "imageUrls": [ "https://xyz.com/" ]
- Plateforme d’intégration pour les vendeurs : dans les fils de produits et les fils combinés
- API de commerce, pour les UGS uniques, et les variétés et les fils multiples :
- Contenu actif
eBay n’accepte plus le contenu actif dans les annonces.
Toutefois, si les balises suivantes sont comprises dans une annonce et n’utilisent pas d’URL HTTPS sécurisées, elles pourraient nuire à la navigation des utilisateurs de Chrome.
<script> (src attribute)
<iframe> (src attribute)
<form> (action attribute)
<embed> (src attribute)
XMLHTTPRequests loading insecure resources:
request.open("GET", "https://xyz.com/", true); request.send();
- Plus d’éléments HTML
Balises HTML 4
<applet codebase=url>
<area href=url>
<base href=url>
<blockquote cite=url>
<body background=url>
<del cite=url>
<form action=url>
<frame longdesc=url> ,<frame src=url>
<head profile=url>
<iframe longdesc=url> , <iframe src=url>
<img longdesc=url> , <img src=url> , <img usemap=url>
<input src=url> and <input usemap=url>
<ins cite=url>
<link href=url>
<object classid=url>, <object codebase=url> , <object data=url> , <object usemap=url>
<q cite=url>
Balises HTML 5
<audio src=url>
<button formaction=url>
<command icon=url>
<embed src=url>
<html manifest=url>
<input formaction=url>
<source src=url>
<video poster=url> , <video src=url>
URL complexes
<img srcset="url1 resolution1 url2 resolution2">
<source srcset="url1 resolution1 url2 resolution2">
<object archive=url> , <object archive="url1 url2 url3">
<applet archive=url> , <applet archive=url1,url2,url3>
<meta http-equiv="refresh" content="seconds; url">
<svg><image href="url"/></svg>
En savoir plus
Pour en savoir plus sur le contenu mixte, consultez les guides du développeur ci-dessous (offerts en anglais seulement) ou parcourez notre foire aux questions.
- Google Web Fundamentals: What is Mixed Content?
- Google Web Fundamentals: Preventing Mixed Content
- Mozilla Developers Network: Web Security—Mixed Content
Foire aux questions
- Quels changements sont à prévoir?
À compter de la mi-octobre 2017, Google Chrome affichera la mention « Non sécurisé » dans la barre d’adresse de toute page qui comprend du contenu utilisant le protocole HTTP. Pour empêcher les acheteurs de voir la mention « Non sécurisé » lorsqu’ils consultent vos annonces, eBay modifiera l’affichage des descriptions d’objets sur ordinateur. Dès octobre 2017 à eBay.com et à compter du début de 2018 à eBay.ca, les annonces comprenant du contenu HTTP non sécurisé seront présentées sous forme de récapitulatif, suivi du bouton « Voir la description complète de l’objet ». Cette nouvelle présentation est similaire à l’interface actuellement utilisée sur les plateformes mobiles.
- Ce changement aura-t-il une incidence sur toutes les annonces eBay?
Non. Plusieurs annonces eBay sont déjà sécurisées et demeureront inchangées. Seules les annonces comprenant du contenu non sécurisé seront présentées sous forme abrégée et associées au bouton « Voir la description complète de l’objet ».
- Comment puis-je m’assurer que la description complète de mes produits est affichée sur la page principale et ne requiert pas que l’acheteur clique sur un bouton pour y accéder?
Pour que la description complète de vos objets soit affichée sur la page principale, assurez-vous que vos annonces ne contiennent aucun contenu HTTP non sécurisé en suivant les étapes fournies. Si vos annonces sont conformes au protocole HTTPS, elles ne seront pas touchées par ce changement. La description complète de l’objet sera affichée sur la page principale.
- Où dois-je effectuer les mises à jour?
Vous devez mettre à jour toutes vos annonces actives, vos annonces programmées, vos modèles d’annonces, vos modèles de descriptions, et l’inventaire que vous n’avez pas encore annoncé.
- La présence d’un lien HTTP dans une annonce ou une Boutique en modifiera-t-elle l’affichage?
Seules les URL HTTP intégrées dans des balises et qui récupèrent du contenu pour l’intégrer à votre annonce ou votre Boutique en modifieront l’affichage. Ce contenu pourrait notamment comprendre des images, des fichiers vidéo ou audio, les feuilles de style en cascade (CSS) et d’autres contenus, comme décrit plus haut.
Les hyperliens vers les sites Web tiers sont gouvernés par le èglement sur les hyperliens d’eBay, mais leur présence ne provoquera aucun changement.
- eBay m’avertira-t-il de la présence de contenu HTTP non sécurisé dans mes annonces?
eBay ne prévoit pas aviser les vendeurs de la présence de contenu non sécurisé dans leurs annonces. Nous vous invitons à prendre les mesures nécessaires pour assurer la conformité de vos annonces avant l’entrée en vigueur de la mise à jour, en octobre prochain.
- L’expérience de navigation sur les plateformes mobiles changera-t-elle?
Non, aucun changement n’est prévu à l’expérience de navigation sur les plateformes mobiles.
- Je fais appel aux services d’un tiers pour la présentation et la gestion de mes annonces. Ce dernier m’assure que les outils et les fonctionnalités qu’il utilise sont conformes au protocole HTTPS. Dois-je tout de même vérifier mes annonces?
Si vous avez utilisé l’option « Valide jusqu’à annulation » lors de la création de l’annonce, ou si vous avez créé votre Boutique avant que votre fournisseur convertisse son protocole de sécurité, votre annonce ou votre Boutique eBay pourrait contenir du contenu non conforme. Les fournisseurs tiers publient les annonces « valides jusqu’à annulation » une première fois, et eBay les publie à nouveau automatiquement, sans les modifier.
Demandez à votre fournisseur comment il peut vous aider à mettre à jour vos anciennes annonces « valides jusqu’à annulation », vos brouillons d’annonce, vos modèles d’annonce et vos Boutiques.
- Cette mise à jour est-elle équivalente à l’exigence de remplacer le contenu actif?
Non. Depuis juin 2017, eBay ne permet pas l’inclusion de contenu actif dans les annonces, notamment le contenu JavaScript et Flash, les plugiciels et les autres méthodes de programmation similaires.
Le contenu hébergé par des domaines tiers, tel que les photos et les feuilles de style en cascade (CSS), est considéré comme un contenu « passif » et demeure autorisé dans les annonces. Ce contenu ne provoquera pas l’avertissement « Non sécurisé » de Google et ne modifiera pas l’affichage de la description du produit, tant et aussi longtemps qu’il sera transmis par le protocole HTTPS sécurisé.
- Qu’adviendra-t-il si je convertis le contenu de mes annonces au format HTTPS, mais que mon domaine n’est pas conforme au protocole HTTPS?
Votre contenu s’affichera probablement sous forme d’image ou de vidéo non fonctionnelle. Communiquez avec votre domaine pour vous assurer qu’il respecte les normes de sécurité du protocole HTTPS, ou retirez simplement tout contenu HTTP non sécurisé.
- eBay bloquera-t-il mes annonces si elles contiennent du contenu HTTP?
Non, nous ne prévoyons pas bloquer les annonces comprenant du contenu non conforme.
- Les utilisateurs de Google Chrome seront-ils les seuls à voir un aperçu de la description pour les annonces comprenant du contenu HTTP?
Peu importe le navigateur qu’ils utilisent, tous les acheteurs verront l’aperçu de description et le bouton « Voir la description complète de l’objet ».
Aucun changement ne sera apporté à l’expérience de navigation sur les plateformes mobiles, qui fait déjà appel aux aperçus de description, peu importe l’application utilisée.
- Existe-t-il une façon de modifier le récapitulatif affiché en haut du bouton « Voir la description complète de l’objet »?
L’option « récapitulatif de la description » actuellement offerte pour les plateformes mobiles s’appliquera également à l’affichage sur ordinateur. Apprenez-en plus sur l’ajout d’un récapitulatif à la description d’un objet.
- Pendant combien de temps le bouton « Voir la description complète de l’objet » demeurera-t-il en place après la modification de mon annonce pour en assurer la conformité?
La description complète de l’objet devrait apparaître dans les quelques heures suivant la modification de votre annonce.
- Quelle est la différence entre le contenu actif, les exigences HTTPS et les liens externes?
Le contenu actif était utilisé par plusieurs vendeurs pour ajouter des fonctions interactives, des animations ou des vidéos à leurs annonces par l’intermédiaire de JavaScript, de Flash ou de plugiciels. Depuis juin 2017, eBay n’accepte plus le contenu actif, et propose différentes options de remplacement.
HTTP est un protocole de communication utilisé pour accéder à des pages Web. Son pendant sécurisé, le protocole HTTPS (le « S » signifie « Secure » ou « Sécurisé »), assure la confidentialité et la sécurité des données en chiffrant les communications. Certains navigateurs, notamment Google Chrome, exigent actuellement le recours aux normes de sécurité plus élevées du protocole HTTPS, et eBay soutient cette initiative. Les pages eBay sont au format HTTPS, et nous exigeons que nos vendeurs utilisent exclusivement des pages HTTPS à compter d’octobre 2017 (annonces comprises à eBay.com seulement) ou du début de 2018 (annonces comprises à eBay.ca). Les vendeurs qui n’effectuent pas la conversion au protocole HTTPS avant ces dates butoirs verront leurs annonces cachées derrière le bouton « Voir la description complète de l’objet », de manière à ce que les acheteurs ne voient pas la mention « Non sécurisé » lorsqu’ils consultent la page.
Pour vous assurer que la description et les images de vos objets soient affichées correctement, demandez à votre domaine hôte ou à vos partenaires tiers de faire la conversion au protocole HTTPS et de mettre à jour les modèles d’annonces et de descriptions. Pour assurer un affichage optimal sur plateformes mobiles et sur ordinateur, nous vous recommandons de télécharger vos images sur eBay.
Les liens externes, les adresses courriel et les numéros de téléphone ne sont pas permis dans la description des objets, dans les titres ou sur toute autre page eBay. Ces éléments ne sont pas autorisés même si vous retirez tout contenu actif et utilisez le protocole HTTPS. eBay pourrait prendre un éventail de mesures contre les vendeurs qui contreviennent aux politiques de vente et d’achat d’eBay.
- Mon annonce semble respecter le protocole HTTPS, mais la description complète de mon objet ne s’affiche toujours pas. Quel pourrait être le problème?
La description complète de l’objet (sans bouton) devrait apparaître dans les quelques heures suivant la modification de votre annonce. Si elle demeure cachée plusieurs heures après les changements, assurez-vous de passer en revue toutes les images téléchargées, qui doivent toutes respecter le protocole HTTPS.
- Quelle est la meilleure façon de mettre mes annonces à jour en bloc?
Pour le moment, utilisez la fonction de modification en bloc, ou la fonction de recherche et remplacement si vous annoncez sur eBay.com. Nous explorons actuellement de nouvelles options pour faciliter les changements en bloc dans le futur.
- J’utilise plusieurs comptes de vente eBay. Puis-je vérifier toutes mes annonces à l’aide de l’outil i-ways?
Oui, mais vous devrez créer un compte i-ways distinct pour chaque compte eBay que vous souhaitez vérifier. Si vous désirez simplement vérifier les identifiants des objets depuis différents comptes, vous pouvez le faire aisément à l’aide de l’outil de vérification d’i-ways sans devoir créer un compte i-ways.