1

flanker a souhaité poursuivre une discussion dérivée dans un nouveau sujet. La discussion initiale a eu lieu dans le sujet topics/150713-mises-a-jour-de-yaronet/92#post-2743 tandis que la discussion dérivée continue dans le sujet topics/188077-interet-du-https où les messages en rapport ont été copiés.
avatar
Ben, bouh, quoi :D

2

C'est déjà fait pour les pages d'authentification, pour le reste pas de raison de forcer une redirection vers https donc c'est pas prévu smile
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

3

Zeph (./2739) :
pour le reste pas de raison de forcer une redirection vers https
Comment ça ?
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

4

./2740 : OK je regarde dans la journée

./2741 : pour moi seules les pages qui demandent un mot de passe sont assez critiques pour interdire l'accès http, je veux laisser les utilisateurs choisir http ou https pour tout le reste ; on en parle dans un autre sujet si vous voulez, pas ici.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

5

Mettre du HTTPS partout est utile pour que yN ne puisse pas être un vecteur d'attaque via du MITM, alors que le site lui-même n'est absolument pas intéressant. C'est quelque chose qui est régulièrement utilisé : un script JS est changé à la volée et la nouvelle version contient un piège.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

6

Et, sur un plan totalement différent, Google référence moins bien le http que le https (c'est un choix qu'ils ont fait pour pousser le https).
avatar

7

oui, aussi
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

8

Zeph > quels avantages y a-t-il à rester en HTTP quand du HTTPS est dispo ?

Les seuls que je vois sont :
- ça demande moins de puissance de traitement côté serveur et client (mais est-ce que c'est vraiment significatif pour un site comme yN, avec les machines modernes ?)
- c'est plus compatible avec les vieux navigateurs (même question : y a-t-il vraiment des utilisateurs qui sont concernés maintenant que j'ai abandonné Firefox 2 grin ?)

Pour le reste, être en HTTPS est avantageux du point de vue sécurité : outre ce qu'a dit Flan, ça permet aussi d'éviter qu'on puisse intercepter tes messages privés, par exemple.
D'ailleurs, la tendance sur le web est à la généralisation du HTTPS partout.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

9

Je suis conscient des avantages de HTTPS, et l'intégralité du site est accessible en HTTPS donc pas de souci à ce niveau : vous pouvez d'ors et déjà utiliser exclusivement des URLs en HTTPS (et je pourrai ajouter une option dans le profil pour forcer une redirection automatique si vous voulez vraiment être sûrs de ne plus utiliser la version HTTP).

Mais la question n'est pas de savoir ce qu'apporte HTTPS par rapport à HTTP ou l'inverse, on parle ici d'interdire l'accès en HTTP au site pour tout le monde. Pour le moment je n'ai pas d'argument en faveur de cette limitation à part celui de Nil sur le référencement.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

10

Présenté comme ça, c'est vrai que c'est gênant d'empêcher quelqu'un qui veut délibérément utiliser du HTTP de le faire.

Le truc c'est plutôt d'éviter que quelqu'un qui ne fasse pas attention (ou qui ne maîtrise pas ces questions) utilise la version HTTP, alors qu'il pourrait avoir une meilleure sécurité en utilisant la version HTTPS.

Je vois une solution possible, mais un peu bancale : la première fois qu'on visite le site via une URL HTTP, on aurait une page qui indique qu'on va être redirigé automatiquement vers la version HTTPS dans 5 secondes, avec deux liens : "passer en HTTPS" (pour ne pas avoir à attendre la fin du délai) et "rester en HTTP". Le choix serait mémorisé dans un cookie.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

11

Ça me semble beaucoup plus compliqué que la solution d'une option dans le profil. J'y vois l'avantage qu'on peut avoir le mode "forcer HTTPS" activé ou non selon le navigateurs ; ça peut être utile pour les gens qui ont des scripts qui ne sont pas prévus pour fonctionner en HTTPS mais veulent quand même forcer la version HTTPS depuis leur navigateur principal (et encore, selon comment est implémentée la redirection ils pourraient la suivre et ça casserait tout). Ceci dit ça me semble assez marginal et l'option globale par profil serait quand même à la fois plus simple à implémenter et moins confuse pour les utilisateurs.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

12

Je pensais plutôt à ça pour les utilisateurs non logués ; pour ceux logués, je suis d'accord qu'une option de profil est la meilleure solution (mais je croyais que Folco t'avais dégoûté à vie de ce machin ? grin)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

13

Zerosquare > et on appellerait ça HSTS ?
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

14

./12 : Ah non, je refuse surtout les options de profil qui ont un effet sur l'interface, parce qu'il n'y a pour le moment pas moyen de les implémenter sans avoir des dépendances trop fortes entre l'interface et le modèle de données, que je trouve par ailleurs raisonnablement limitées. Quand j'aurai le temps de m'attaquer à ça et revoir les options déjà existantes (choix de police et masquer les avatars) ça ne posera plus vraiment de problème. Mais ici c'est une option qui n'a rien à voir avec l'interface donc pas de problème smile

./13 : sauf que HSTS ne laisse aucun choix, après avoir suivi une URL HTTPS (même par erreur) c'est vraiment la plaie pour repasser en HTTP :/
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

15

Zeph > OK hehe

Flan > je ne connaissais pas smile
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

16

(Merci d'avoir demandé, j'osais même plus cheeky)

17

(Boah, faut pas avoir peur, il y a plein de choses qu'on ne sait pas ^^)
avatar

18

Zeph (./14) :
Quand j'aurai le temps de m'attaquer à ça et revoir les options déjà existantes (choix de police et masquer les avatars)
fear
Tu veux virer ces merveilleuses options ?
#peur2#

19

Non au contraire j'aimerais en ajouter d'autres comme par exemple la possibilité de cacher le logo du site pour rendre le bandeau plus discret smile
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

20

Tu cherches à planquer Boo sous le tapis, avoue embarrassed

(ça ne pourrait pas être gérée par une skin spécifique, genre une qui ferait ressembler yN à un document bureautique ? ^^)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

21

Une skin excel aussi serait bien! XD
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

22

23

(y'a un mode comme ça sur nextinpact)
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

24

Vous me fournissez la CSS ? grin
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

25

Je te dirais bien de demander à Ximoon, mais un Excel orange et bleu, ça risquerait de paraître suspect ^^
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

26

(Sinon on peut déjà ouvrir des pages dans les IDE ##trifflote##)

27

Boah, il suffit comme moi de dire que c'est un site où on peut poser des questions techniques embarrassed
avatar

28

Avec le https c'est plus crédible, oué trioui