[stand by] HTTPS ?

[Dominique]

Tiens, je ne sais pas si c'est parce que c'est resté en suspend ou si c'est une regression mais je navigue maintenant en https sur wri et j'ai l'alerte de firefox qui me dit que maps.refuges.info est accédé en http

Moi aussi (dans la console). Bien que ça reste très discret.
L'étau se resserre : http://www.ecommercemag.fr/Thematique/s ... R79r8XJ.97

C'est d'autant plus dommage que j'ai implémenté le schéma des cartes dépendant du schéma de la page dans la lib mais que je n'ai pas livré cette dernière
Je vais voir ça.
Par contre, il y aura toujours des cartes pour lesquelles nous attendons https (Espagne par exemple)


Pour la petite histoire, je suis cette semaine branché sur un hot spot qui détourne la page demandée aux fins d'identification.
Hors, mon navigateur par défaut est "chrome" et ma page de démarrage "https://www.google.fr" (ben oui, on ne peut pas s'en passer )
Donc, quand je me connecte au réseau, j'obtiens de la part de chrome une page haute en rouges me signalant qu'un pirate à intercepté ma ligne (ça, je le savais, pour une bonne cause) MAIS M'INTERDISANT COMPLETEMENT DE PASSER OUTRE, ce qui est fort gênant car je ne peux pas m'identifier...
Bon, ça se contourne (pour le moment) mais, quand tous les sites seront HTTPS et que tous les explorateurs auront le même comportement parano, il faudra m'expliquer comment je m'identifie sur le hotspot
Même GG ne pense pas à tout !

[sly]

On passe un peu plus (ou carrément on force ?) le forum en https ?

== avantages ==
* Comme nous l'avions prédit, les navigateurs sont de plus en plus alarmistes avec les sites accédé en http, d'autant plus si un mot de passe est transmis en http, ce qui peut être le cas de notre forum qui est accessible en http autant qu'en https.
* Et je conviens, qu'avec le piratage en augmentation la donne a un peu changé. Le risque des mot de passer identique utilisé un peu partout font que le forum de refuges.info en http pourrait faire courir un risque plus élevé de vol de mot de passe. Risque que nous devrions tenter de réduire.
* Les utilisateurs qui, comme moi, on choisi de naviguer le site en https ou qui sont venu par google qui ne référence le site plus que en https sont dans une situation perturbante quand les mails provenant de phpBB n'offre que des liens en http

== inconvénients ==
J'entends toutefois l'argument qui dit que quand on est dans la cambrousse avec une connexion 2G on peut préférer accéder au site avec une latence minimum. Mais accéderait-on au forum dans ces situations ?
Je conviens aussi que si le certificat expire par erreur le forum devient alors pas ou difficilement utilisable.
Et je soupçonne que des effets de bords léger pourraient avoir lieu (devoir se reconnecter peut-être ?) pour les utilisateurs ayant leur bookmarks en http qui se retrouverons en https

== proposition ==
Les avantages dépassant selon moi les inconvénients (et pis y'a bien un jour ou les navigateurs nous l'imposerons) autant commencer maintenant.
Je propose en phase 1 : que les mails qui partent du forum proposent des liens https* pour tout le monde
en phase 2 : que l'accès au forum soit forcé en https par redirection


* correction : j'avais écris http

[Claude Mauguier]

... mon navigateur par défaut est "chrome" et ma page de démarrage "https://www.google.fr" (ben oui, on ne peut pas s'en passer )

Disons qu'on peut s'en passer à 85,847 %, pour les "travaux courants"
Firefox ==> Duckduck (Qwant est squelettique et pauvre en résultats) ==> etc. GG c'est juste une question de statistique en résultats de recherches (bien que DD trouve parfois ce que GG ne trouve pas), puisque l'échantillonnage ne se base pas sur les mêmes critères.
Mais c'est pas le sujet.
Le passage en https côté WRI va-t-il affecter non seulement ce qui en sort, mais aussi ce qui y rentre ?? Par ex.si on poste un lien en http,est-ce que ça va bloquer qqpart, du genre cartes espagnoles, comme disait Dominique

[Dominique]

J'entends toutefois l'argument qui dit que quand on est dans la cambrousse avec une connexion 2G on peut préférer accéder au site avec une latence minimum. Mais accéderait-on au forum dans ces situations ?

Ya pas que le 2G : https passe très mal sur 3G et 3G+
C'est un ariégeois qui le dit : tu ne m'aurais plus comme client quand j'irai voir ma famille
La fibre et le 4G, c'est bien pour la ville... essaye donc sur une aire d'autoroute déjà

Quant à l’éradication du http et donc l'exclusion de tous les éloignés de la civilisation, je crains qu'on y arrive mais le plus tard possible pour WRI s'il te plait.

en phase 1 : que les mails qui partent du forum proposent des liens https pour tout le monde

je vote oui

en phase 2 : que l'accès au forum soit forcé en http par redirection

Je vote contre. Si c'est par défaut, il faudrait un moyen de revenir en http

Le passage en https côté WRI va-t-il affecter non seulement ce qui en sort, mais aussi ce qui y rentre ?? Par ex.si on poste un lien en http,est-ce que ça va bloquer qqpart, du genre cartes espagnoles, comme disait Dominique

Soit rassuré, ça n'affecte ni la connexion ni la saisie / récupération des infos

[sly]

Quant à l’éradication du http et donc l'exclusion de tous les éloignés de la civilisation, je crains qu'on y arrive mais le plus tard possible pour WRI s'il te plait.

"exclusion", tout de suite les grands mots, n'exagérons pas non plus...
Toutefois, je n'ai aucunement l'intention de forcer du https pour une zone du site dans laquelle ne passe pas de données personnelles privées. Je dirais même que tant que je n'y vois aucun inconvénients (bien que ça nous pende au nez : google étant parti en croisade contre le http pour on ne sait quelle obscure raison sournoise, il finira par nous dé-référencer, signaler par du rouge, du orange ou autres messages angoissant) je voterais pour la résistance.

en phase 1 : que les mails qui partent du forum proposent des liens https pour tout le monde

je vote oui

Je vais essayer depuis l'admin de phpBB, ça doit bien se paramétrer quelque part.

en phase 2 : que l'accès au forum soit forcé en http par redirection

Je vote contre. Si c'est par défaut, il faudrait un moyen de revenir en http

J'ai dû mal à comprendre ta réticence, le forum va plutôt vite à charger, du https en plus ne rajoutera pas énorme de latence non ? Et dans un cas de mobilité sur réseau médiocre, je ne m'imagine pas vraiment lire et participer sur le forum, un vrai clavier avec un vrai écran me semble préférable de toute façon.
Mais admettons, sur le même principe qu'avant, je n'ai rien contre le fait que le contenu du forum soit accessible en http, c'est uniquement le formulaire de login que je souhaite protéger.
Je m'étais juste dis que cette fonctionnalité n'avait certainement pas été prévue, mais peut-être y'a-t-il un moyen de protéger uniquement ucp.php?mode=login quitte à retrouver du http une fois authentifié ?

[Dominique]

google étant parti en croisade contre le http pour on ne sait quelle obscure raison sournoise, il finira par nous dé-référencer

Je n'ai effectivement pas compris pourquoi tous ces grands groupes tiennent tant que ça à nous protéger...
Par contre, tu as raison pour le déréférencement : ne pas être "responsive", "mobile firendly" et https est clairement une cause de baisse du rank.
Ce que je ne sais pas, c'est comment présenter le site aux bots pour qu'ils ne référencent que https (ou bien le prennent-ils par défaut quand il existe, auquel cas on est bon ?)

que les mails qui partent du forum proposent des liens https pour tout le monde
Je vais essayer depuis l'admin de phpBB, ça doit bien se paramétré quelque part.

Dans phpBB, je ne vois pas mais quid des BBcodes ?

J'ai dû mal à comprendre ta réticence, le forum va plutôt vite à charger, du https en plus ne rajoutera pas énorme de latence non ?

C'est vrai, j'ai surtout expérimenté des cartes ces temps-ci (https est nécessaire pour l'accès aux capteurs du mobile et pour les web applications)
Je ne sais pas pour le forum. C'est une bonne question, il faudra que j'essaye.
C'est vrai aussi que le forum est moins utile en itinérance que les fiches ou les cartes.

Je m'étais juste dis que cette fonctionnalité n'avait certainement pas été prévue, mais peut-être y'a-t-il un moyen de protéger uniquement ucp.php?mode=login quitte à retrouver du http une fois authentifié ?

Prévu, je ne pense pas. C'est un peu tordu quand même...
Je pense insérer une séquence comme ça dans un des hooks de ucp.php

Code : Tout sélectionner

if (window.location.protocol == 'http:' && window.location.host != 'localhost')
	window.location.href = window.location.href.replace('http:', 'https:');

Si tu veux, je le fais.
Par contre, revenir en http après, ça va dépendre de où va le visiteur.
On pourrait le laisser faire (quand il y a nécéssité...)

[Claude Mauguier]

... c'est uniquement le formulaire de login que je souhaite protéger.

Soit, mais "protéger" le login empêche aussi d'introduire un lien comme ici :

uBlock₀ a empêché le chargement de la page suivante :
http://pagead2.googlesyndication.com/
À cause du filtre suivant :
||googlesyndication.com^
Trouvé dans : Peter Lowe’s Ad and tracking server list

C'est à dire cette liste : moz-extension://900b144d-7948-4d39-94ee-7c00264658e4/asset-viewer.html?url=plowe-0
Ceci suite à l'introduction par Dominique de cette question : http://www.refuges.info/forum/viewtopic ... 367#p31770 , avant que tu ne corriges http ===> https

[Dominique]

Je m'étais juste dis que cette fonctionnalité n'avait certainement pas été prévue, mais peut-être y'a-t-il un moyen de protéger uniquement ucp.php?mode=login quitte à retrouver du http une fois authentifié ?

Voilà, c'est fait (et facile à défaire si ça ne va pas)
Les pages qui comportent un champ <input type="login"... > sont automatiquement redirigées vers https
C'est vrai pour la page d'accueil si on n'est pas connecté (bandeau en bas), pour la page de connexion, d'enregistrement, la connexion au panneau d'administration ... et ça sera aussi vrai si j'en oublié une ou deux dans un coin.
Par contre, la navigation reste sur https jusqu'à ce que l'internaute supprime le "s" manuellement dans la barre d'adresse.
ça route quasiment tout le monde sur https mais ça laisse un échappatoire pour ceux qui ont vraiment identifié la source de leur problème.

Pour avis, modification, ...

[sly]

Dans phpBB, je ne vois pas mais

Alors je crois avoir trouvé l'option, mais sa description n'étant pas super claire je n'arrive pas à savoir si ça ne modifie que ce que je veux ou si ça risque de forcer autre chose du forum à https.
C'est dans :
Général -> Configuration du serveur -> Paramètres du serveur -> Paramètres des URLs du serveur
Avec : Forcer les paramètres URL du serveur = oui
Protocole du serveur : https://
explication donnée : "Utilisé comme protocole du serveur si ces paramètres sont forcés. Si vide ou non forcé, le protocole est déterminé par les paramètres de cookie sécurisé. (http:// ou https://)"

Avant on était à "non forcé" mais je pigais pas bien cette histoire de "Si vide ou non forcé, le protocole est déterminé par les paramètres de cookie sécurisé"

Et puis dans cette discussion ici même, j'ai reçu des alertes du forum me disant "Notification de nouveau message dans le sujet - [fait] HTTPS ?" (c'était toi ce matin 8h00 puis claude vers 17h00)
Et dedans, j'avais des liens en http:// qui me ramenait au forum. Alors que je suis utilisateur habituel en https.
Puis, sans que je ne changer rien, un nouveau message arrive vers 20h00 (toi à nouveau) et cette fois, paf, les liens sont en https dans le mail !!
Je sais que tu indiques que tu as ajoutés un code pour forcer le login en https, mais je ne vois pas pourquoi ça changerait les liens qui me sont envoyé à moi de http à https ??
Je fais alors des tests (zone dév) pour conclure à un comportement pas banal : les liens dans les mails de notification ne vont pas varier en fonction du destinataire mais de l'expéditeur :
Si quelqu'un connecté en http:// au forum envoi un message, je serais notifié avec un lien :
Pour consulter le premier message non lu, cliquez sur le lien suivant :
http://www.refuges.info/forum/viewtopic ... d#unreaden
et https:// si il est connecté en https://

Je ne leur en veut pas aux dév phpBB, on va pas demander aux utilisateurs qui créer un compte, sur un forum dont les webmasters n'arrivent pas à se décider entre http et https , en plus des dizaines d'options, s'ils veulent être notifié avec des liens en http ou https, tenant et aboutissant qu'ils ignorent sans doute majoritairement, donc les dév trichent et détectent le protocole de celui qui envoi le message, supposant que tout le monde est dans ce cas.

Bref, y'a plus qu'a essayer de forcer à https:// cette option, j'essaye... (tester en dév, ça semble faire ce que je suggérais)

quid des BBcodes ?

Lesquels ?

[sly]

Les pages qui comportent un champ <input type="login"... > sont automatiquement redirigées vers https

ça semble marcher...
Toutefois, la page d'accueil du forum étant concernée (y'a un login possible en bas) dans les faits nous nous rapprochons bigrement d'imposer tout le forum en https...
A part changer soit même le https en http (réservé aux quelques happy few = toi) et les liens d'accès direct, typiquement depuis les fiches des points qui sont de toute façon indexées par google en https. Il ne va plus rester grand monde qui naviguera le forum en http...

Techniquement, c'est pas trop un charcutage qui nous fera des misères lors de la prochaine mise à jour de phpBB ? sinon on peut en rester à la phase 1 que j'évoquais (juste les liens dans les emails). Après tout, pour la majorité des utilisateurs, qui seront venu sur le site depuis google, tout sera en https et notre mise en cause dans l'éventuel vol d'un mot de passe devrait être assez limité.
(bing et qwant nous indexent toutefois toujours en http:// )

[Dominique]

Techniquement, c'est pas trop un charcutage qui nous fera des misères lors de la prochaine mise à jour de phpBB ?

Normalement non : c'est l'interface officiel "hook" : juste un fichier dans notre zone d'extension complètement indépendant de toute variable interne phpBB.
Je ne pense pas que cet interface ait la moindre chance de changer un jour, il y a trop de sites l'utilisant.

dans les faits nous nous rapprochons bigrement d'imposer tout le forum en https...
A part changer soit même le https en http (réservé aux quelques happy few = toi)

Ha ben, oui...
D'un autre côté, c'est ce que tu proposais, probablement avec certaines raisons... et que font plus violemment d'autres sites.
Pour l'instant, je ne connais que SQFP.info et moi ayant signalé le problème.
http://www.refuges.info/forum/viewtopic ... s&start=40
Attendons le retour d'autres personnes.
Sinon, j'ai pensé à un bouton en bas de page à côté de "version mobile" pour passer en http (avec un cookie pour s'en rappeler ?) mais ça fait usine à gaz.

les liens d'accès direct, typiquement depuis les fiches des points

Zut, pas pensé à ça.
N'est il pas possible avec les BBcodes de ne pas mettre de schéma ? genre //refuges.info
J'utilise ça massivement pour les cartes avec de bons résultats.
(je ne connais pas trop le fonctionnement des BBcodes)

[sly]

D'un autre côté, c'est ce que tu proposais, probablement avec certaines raisons... et que font plus violemment d'autres sites.

Ho mais moi, ça me va, pas de problème de ce coté là. Mais j'ai lu tes réticences, celles qu'avait formulé SQFP.info et je vois qu'avec ces modifs, on en revient presque à forcer le https sur le forum pour la grande majorité des utilisateurs. Alors je me place de votre point de vu pour soulever cette remarque.
Mais comme tu dis plus bas, faisons comme ça, et attendons de lire les retours s'il y en a.

Pour ce qui est de la pérénité du hook, si ça ne devient plus possible il sera toujours possible de repasser à la solution "forcer le https" puisque c'est à quoi nous sommes arriver. (On mettra alors une exception pour toi )

Sinon, j'ai pensé à un bouton en bas de page à côté de "version mobile" pour passer en http (avec un cookie pour s'en rappeler ?) mais ça fait usine à gaz.

ça fait compliqué mais aussi opaque pour la majorité des utilisateurs, y'a déjà des tas de menus que les gens ont du mal à comprendre, je doute que sur le sujet http/https ils ne savent bien ce que tout ça implique. Je préfère choisir le https par défaut pour eux, puis offrir la possibilité (expliquer comment enlever le s dans l'url ou créer un bookmark) pour les "power users" se trouvant en Ariège avec une 2G qui patine...

les liens d'accès direct, typiquement depuis les fiches des points

Zut, pas pensé à ça.
N'est il pas possible avec les BBcodes de ne pas mettre de schéma ? genre //refuges.info
J'utilise ça massivement pour les cartes avec de bons résultats.

?
Les gens plongés dans le js en permanence en oublient l'origine des liens web, au début, c'était pour accéder à d'autres pages du même site, et on faisait ça avec un lien relatif, qui préservait ainsi le lieu, l'adresse serveur et... le schéma. (et ça existe toujours !)
Donc, ces liens vers le forum étant relatifs, le shéma "choisi" par l'internaute sera préservé. Pas de problème de ce coté là.
J'indiquais juste une des méthodes qui permettent de revenir au forum en http (à savoir, se connecter avec son user, retourner sur le moteur de recherche Qwant, chercher refuge info, arriver sur le site en http puis retourner sur le forum par le lien forum ou les fiches de point qui amène au forum)


Bref, je me résume : Tout va bien.
essayons ta solutions pour les logins, et la mienne pour les liens dans les emails.

[Dominique]

Je remet un sujet ici car il s'agit bien de http/https, bien que j'aie un peu mélangé les sujets

Essai depuis une zone à couverture faible :
Chargement du massif Vercors :

Https:
Chargement de la page html à 5 secondes
Chargement du fond de carte et du contour du massif à 20 secondes (dalles de 43k + contour de 1,2k)
Chargement des points à 50 secondes (pourtant il ne fait que 522k)
Http :
Chargement de la page html à 5 secondes
Chargement du fond de carte et du contour du massif à 10 secondes
Chargement des points à 50 secondes
(j'avais vidé le cache entre deux)

Moralité : https ne ralenti pas par rapport à http à débit constant.
Par contre, le chargement des points est très long (il s'agit bien du chargement car ma nouvelle version d'Openlayer remonte les statuts de connexion)

J'avais constaté, il y a quelques années, de gros blocages (allant jusqu'au refus de charger la page) dans certaines condition de G+ en montagne mais j'ignore s'il y avait un problème particulier où si une évolution technologique a amélioré ce point.

*** Oups : je n'ai pas pris la nouvelle API sur dom ***

[Dominique]

Après 3 jours de test, plus de déconnexion quand la modif de forçage du https sur page login est enlevée.
C'est vrai qu'elle était pas trop standard. De là à ce que ça ne plaise pas à un quelconque logiciel de sécurité (explorateur ou forum ?)

Après les tests (sur une zone faible seulement !), on pourrait reprendre la discussion sur le basculement "standard" (DNS ? .htaccess ? ...)
Après les fêtes, bien entendu

[sly]

Après les fêtes, bien entendu

Vaudrait mieux car là je ne comprends rien...
Désolé d'avoir dérangé les posts, mais finalement on parle des déconnexions du forum ?
C'est pas ici :
viewtopic.php?f=2&t=9386 ?

Ou alors est-ce que le diagnostic est finalement que les déconnexions sont dûes au bout de js qui force le https sur le forum ?
Si oui, je croyais qu'on avait déjà supprimé ce comportement "bidouille" sur www

Après les tests (sur une zone faible seulement !), on pourrait reprendre la discussion sur le basculement "standard" (DNS ? .htaccess ? ...)

Basculement de quoi vers quoi ?
Tu veux re-forcer le https sur le forum pour tous ?