[stand by] HTTPS ?

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D ;) :o :? 8) :lol: :oops: :twisted: :roll: :ours: :fille: :calimero: :saint: :forb: :avocat: :mouton: :rando: :vaudou: :noel: :) :( :shock: :x :P :cry: :excl: :?: :idea: :arrow: :| :sleep: :geek: :blue: :mrgreen:
Voir plus de smileys

Les BBCodes sont activés
[img] est activé
[flash] est désactivé
[url] est activé
Les smileys sont activés

Revue du sujet
   

Étendre la vue Revue du sujet : [stand by] HTTPS ?

Re: [fait] HTTPS ?

par sly » 27 déc. 2019, 17:55

Rester comme on est, tant que google & co ne nous forcent pas la main, ça me convient.

Re: [fait] HTTPS ?

par Dominique » 27 déc. 2019, 17:48

sly a écrit :
27 déc. 2019, 15:36
Ou alors est-ce que le diagnostic est finalement que les déconnexions sont dûes au bout de js qui force le https sur le forum ?
Si oui, je croyais qu'on avait déjà supprimé ce comportement "bidouille" sur www
Je ne l'ai supprimé que le 22 décembre.
Depuis, plus de déconnexion.
Je ne dis pas que c'était lui le coupable, mais ça me calme de faire des bidouilles sur le sujet.
l'autre bidouille, c'était le SameSite=Strict que j'ai supprimé le 12 décembre sans améliorer la situation.

sly a écrit :
27 déc. 2019, 15:36
Tu veux re-forcer le https sur le forum pour tous ?
Ou bien on reste comme on est : celui qui se sera connecté en https et aura des marque-pages en https restera en https, les autres en http (donc si j'ai bien compris, une minorité).
Après tout, le risque n'est pas bien grand et on empêche personne de passer en https avant de se connecter.

Ou bien, on cède aux pressions et on applique la même politique que les autres sites : redirection vers https pour tous et on attend les remarques.
J'avais constaté des problèmes il y a 5 ans dans un coin reculé de l'Ariège mais ça a peut-être été amélioré depuis.
La seule autre remarque était celle de SQPF et date de 2016, soit à peu près de la même période.

Re: [fait] HTTPS ?

par sly » 27 déc. 2019, 15:36

Dominique a écrit :
27 déc. 2019, 15:02
Après les fêtes, bien entendu
Vaudrait mieux car là je ne comprends rien...
Désolé d'avoir dérangé les posts, mais finalement on parle des déconnexions du forum ?
C'est pas ici :
viewtopic.php?f=2&t=9386 ?

Ou alors est-ce que le diagnostic est finalement que les déconnexions sont dûes au bout de js qui force le https sur le forum ?
Si oui, je croyais qu'on avait déjà supprimé ce comportement "bidouille" sur www

Dominique a écrit :
27 déc. 2019, 15:02
Après les tests (sur une zone faible seulement !), on pourrait reprendre la discussion sur le basculement "standard" (DNS ? .htaccess ? ...)
Basculement de quoi vers quoi ?
Tu veux re-forcer le https sur le forum pour tous ?

Re: [fait] HTTPS ?

par Dominique » 27 déc. 2019, 15:02

Après 3 jours de test, plus de déconnexion quand la modif de forçage du https sur page login est enlevée.
C'est vrai qu'elle était pas trop standard. De là à ce que ça ne plaise pas à un quelconque logiciel de sécurité (explorateur ou forum ?)

Après les tests (sur une zone faible seulement !), on pourrait reprendre la discussion sur le basculement "standard" (DNS ? .htaccess ? ...)
Après les fêtes, bien entendu

Re: [fait] HTTPS ?

par Dominique » 27 déc. 2019, 14:56

Je remet un sujet ici car il s'agit bien de http/https, bien que j'aie un peu mélangé les sujets
Dominique a écrit :
25 déc. 2019, 17:11
Essai depuis une zone à couverture faible :
Chargement du massif Vercors :

Https:
Chargement de la page html à 5 secondes
Chargement du fond de carte et du contour du massif à 20 secondes (dalles de 43k + contour de 1,2k)
Chargement des points à 50 secondes (pourtant il ne fait que 522k)
Http :
Chargement de la page html à 5 secondes
Chargement du fond de carte et du contour du massif à 10 secondes
Chargement des points à 50 secondes
(j'avais vidé le cache entre deux)

Moralité : https ne ralenti pas par rapport à http à débit constant.
Par contre, le chargement des points est très long (il s'agit bien du chargement car ma nouvelle version d'Openlayer remonte les statuts de connexion)

J'avais constaté, il y a quelques années, de gros blocages (allant jusqu'au refus de charger la page) dans certaines condition de G+ en montagne mais j'ignore s'il y avait un problème particulier où si une évolution technologique a amélioré ce point.

*** Oups : je n'ai pas pris la nouvelle API sur dom ***

Re: [fait] HTTPS ?

par sly » 28 nov. 2019, 08:57

Dominique a écrit :
28 nov. 2019, 08:03
D'un autre côté, c'est ce que tu proposais, probablement avec certaines raisons... et que font plus violemment d'autres sites.
Ho mais moi, ça me va, pas de problème de ce coté là. Mais j'ai lu tes réticences, celles qu'avait formulé SQFP.info et je vois qu'avec ces modifs, on en revient presque à forcer le https sur le forum pour la grande majorité des utilisateurs. Alors je me place de votre point de vu pour soulever cette remarque.
Mais comme tu dis plus bas, faisons comme ça, et attendons de lire les retours s'il y en a.

Pour ce qui est de la pérénité du hook, si ça ne devient plus possible il sera toujours possible de repasser à la solution "forcer le https" puisque c'est à quoi nous sommes arriver. (On mettra alors une exception pour toi ;-) )
Dominique a écrit :
28 nov. 2019, 08:03
Sinon, j'ai pensé à un bouton en bas de page à côté de "version mobile" pour passer en http (avec un cookie pour s'en rappeler ?) mais ça fait usine à gaz.
ça fait compliqué mais aussi opaque pour la majorité des utilisateurs, y'a déjà des tas de menus que les gens ont du mal à comprendre, je doute que sur le sujet http/https ils ne savent bien ce que tout ça implique. Je préfère choisir le https par défaut pour eux, puis offrir la possibilité (expliquer comment enlever le s dans l'url ou créer un bookmark) pour les "power users" se trouvant en Ariège avec une 2G qui patine...
Dominique a écrit :
28 nov. 2019, 08:03
sly a écrit :
27 nov. 2019, 22:53
les liens d'accès direct, typiquement depuis les fiches des points
Zut, pas pensé à ça.
N'est il pas possible avec les BBcodes de ne pas mettre de schéma ? genre //refuges.info
J'utilise ça massivement pour les cartes avec de bons résultats.
?
Les gens plongés dans le js en permanence en oublient l'origine des liens web, au début, c'était pour accéder à d'autres pages du même site, et on faisait ça avec un lien relatif, qui préservait ainsi le lieu, l'adresse serveur et... le schéma. (et ça existe toujours !)
Donc, ces liens vers le forum étant relatifs, le shéma "choisi" par l'internaute sera préservé. Pas de problème de ce coté là.
J'indiquais juste une des méthodes qui permettent de revenir au forum en http (à savoir, se connecter avec son user, retourner sur le moteur de recherche Qwant, chercher refuge info, arriver sur le site en http puis retourner sur le forum par le lien forum ou les fiches de point qui amène au forum)


Bref, je me résume : Tout va bien.
essayons ta solutions pour les logins, et la mienne pour les liens dans les emails.

Re: [fait] HTTPS ?

par Dominique » 28 nov. 2019, 08:03

sly a écrit :
27 nov. 2019, 22:53
Techniquement, c'est pas trop un charcutage qui nous fera des misères lors de la prochaine mise à jour de phpBB ?
Normalement non : c'est l'interface officiel "hook" : juste un fichier dans notre zone d'extension complètement indépendant de toute variable interne phpBB.
Je ne pense pas que cet interface ait la moindre chance de changer un jour, il y a trop de sites l'utilisant.

sly a écrit :
27 nov. 2019, 22:53
dans les faits nous nous rapprochons bigrement d'imposer tout le forum en https...
A part changer soit même le https en http (réservé aux quelques happy few = toi)
Ha ben, oui...
D'un autre côté, c'est ce que tu proposais, probablement avec certaines raisons... et que font plus violemment d'autres sites.
Pour l'instant, je ne connais que SQFP.info et moi ayant signalé le problème.
http://www.refuges.info/forum/viewtopic ... s&start=40
Attendons le retour d'autres personnes.
Sinon, j'ai pensé à un bouton en bas de page à côté de "version mobile" pour passer en http (avec un cookie pour s'en rappeler ?) mais ça fait usine à gaz.

sly a écrit :
27 nov. 2019, 22:53
les liens d'accès direct, typiquement depuis les fiches des points
Zut, pas pensé à ça.
N'est il pas possible avec les BBcodes de ne pas mettre de schéma ? genre //refuges.info
J'utilise ça massivement pour les cartes avec de bons résultats.
(je ne connais pas trop le fonctionnement des BBcodes)

Re: [fait] HTTPS ?

par sly » 27 nov. 2019, 22:53

Dominique a écrit :
27 nov. 2019, 20:01
Les pages qui comportent un champ <input type="login"... > sont automatiquement redirigées vers https
ça semble marcher...
Toutefois, la page d'accueil du forum étant concernée (y'a un login possible en bas) dans les faits nous nous rapprochons bigrement d'imposer tout le forum en https...
A part changer soit même le https en http (réservé aux quelques happy few = toi) et les liens d'accès direct, typiquement depuis les fiches des points qui sont de toute façon indexées par google en https. Il ne va plus rester grand monde qui naviguera le forum en http...

Techniquement, c'est pas trop un charcutage qui nous fera des misères lors de la prochaine mise à jour de phpBB ? sinon on peut en rester à la phase 1 que j'évoquais (juste les liens dans les emails). Après tout, pour la majorité des utilisateurs, qui seront venu sur le site depuis google, tout sera en https et notre mise en cause dans l'éventuel vol d'un mot de passe devrait être assez limité.
(bing et qwant nous indexent toutefois toujours en http:// )

Re: [fait] HTTPS ?

par sly » 27 nov. 2019, 22:32

Dominique a écrit :
27 nov. 2019, 15:39
Dans phpBB, je ne vois pas mais
Alors je crois avoir trouvé l'option, mais sa description n'étant pas super claire je n'arrive pas à savoir si ça ne modifie que ce que je veux ou si ça risque de forcer autre chose du forum à https.
C'est dans :
Général -> Configuration du serveur -> Paramètres du serveur -> Paramètres des URLs du serveur
Avec : Forcer les paramètres URL du serveur = oui
Protocole du serveur : https://
explication donnée : "Utilisé comme protocole du serveur si ces paramètres sont forcés. Si vide ou non forcé, le protocole est déterminé par les paramètres de cookie sécurisé. (http:// ou https://)"

Avant on était à "non forcé" mais je pigais pas bien cette histoire de "Si vide ou non forcé, le protocole est déterminé par les paramètres de cookie sécurisé"

Et puis dans cette discussion ici même, j'ai reçu des alertes du forum me disant "Notification de nouveau message dans le sujet - [fait] HTTPS ?" (c'était toi ce matin 8h00 puis claude vers 17h00)
Et dedans, j'avais des liens en http:// qui me ramenait au forum. Alors que je suis utilisateur habituel en https.
Puis, sans que je ne changer rien, un nouveau message arrive vers 20h00 (toi à nouveau) et cette fois, paf, les liens sont en https dans le mail !!
Je sais que tu indiques que tu as ajoutés un code pour forcer le login en https, mais je ne vois pas pourquoi ça changerait les liens qui me sont envoyé à moi de http à https ??
Je fais alors des tests (zone dév) pour conclure à un comportement pas banal : les liens dans les mails de notification ne vont pas varier en fonction du destinataire mais de l'expéditeur :
Si quelqu'un connecté en http:// au forum envoi un message, je serais notifié avec un lien :
Pour consulter le premier message non lu, cliquez sur le lien suivant :
http://www.refuges.info/forum/viewtopic ... d#unreaden
et https:// si il est connecté en https://

Je ne leur en veut pas aux dév phpBB, on va pas demander aux utilisateurs qui créer un compte, sur un forum dont les webmasters n'arrivent pas à se décider entre http et https ;-), en plus des dizaines d'options, s'ils veulent être notifié avec des liens en http ou https, tenant et aboutissant qu'ils ignorent sans doute majoritairement, donc les dév trichent et détectent le protocole de celui qui envoi le message, supposant que tout le monde est dans ce cas.

Bref, y'a plus qu'a essayer de forcer à https:// cette option, j'essaye... (tester en dév, ça semble faire ce que je suggérais)
Dominique a écrit :
27 nov. 2019, 15:39
quid des BBcodes ?
Lesquels ?

Re: [fait] HTTPS ?

par Dominique » 27 nov. 2019, 20:01

sly a écrit :
27 nov. 2019, 14:30
Je m'étais juste dis que cette fonctionnalité n'avait certainement pas été prévue, mais peut-être y'a-t-il un moyen de protéger uniquement ucp.php?mode=login quitte à retrouver du http une fois authentifié ?
Voilà, c'est fait (et facile à défaire si ça ne va pas)
Les pages qui comportent un champ <input type="login"... > sont automatiquement redirigées vers https
C'est vrai pour la page d'accueil si on n'est pas connecté (bandeau en bas), pour la page de connexion, d'enregistrement, la connexion au panneau d'administration ... et ça sera aussi vrai si j'en oublié une ou deux dans un coin.
Par contre, la navigation reste sur https jusqu'à ce que l'internaute supprime le "s" manuellement dans la barre d'adresse.
ça route quasiment tout le monde sur https mais ça laisse un échappatoire pour ceux qui ont vraiment identifié la source de leur problème.

Pour avis, modification, ...

Re: [fait] HTTPS ?

par Claude Mauguier » 27 nov. 2019, 17:04

sly a écrit :... c'est uniquement le formulaire de login que je souhaite protéger.
Soit, mais "protéger" le login empêche aussi d'introduire un lien :?: comme ici :

uBlock₀ a empêché le chargement de la page suivante :
http://pagead2.googlesyndication.com/
À cause du filtre suivant :
||googlesyndication.com^
Trouvé dans : Peter Lowe’s Ad and tracking server list

C'est à dire cette liste : moz-extension://900b144d-7948-4d39-94ee-7c00264658e4/asset-viewer.html?url=plowe-0
Ceci suite à l'introduction par Dominique de cette question : http://www.refuges.info/forum/viewtopic ... 367#p31770 , avant que tu ne corriges http ===> https

Re: [fait] HTTPS ?

par Dominique » 27 nov. 2019, 15:39

sly a écrit :
27 nov. 2019, 14:30
google étant parti en croisade contre le http pour on ne sait quelle obscure raison sournoise, il finira par nous dé-référencer
Je n'ai effectivement pas compris pourquoi tous ces grands groupes tiennent tant que ça à nous protéger...
Par contre, tu as raison pour le déréférencement : ne pas être "responsive", "mobile firendly" et https est clairement une cause de baisse du rank.
Ce que je ne sais pas, c'est comment présenter le site aux bots pour qu'ils ne référencent que https (ou bien le prennent-ils par défaut quand il existe, auquel cas on est bon ?)

sly a écrit :
27 nov. 2019, 14:30
que les mails qui partent du forum proposent des liens https pour tout le monde
Je vais essayer depuis l'admin de phpBB, ça doit bien se paramétré quelque part.
Dans phpBB, je ne vois pas mais quid des BBcodes ?

sly a écrit :
27 nov. 2019, 14:30
J'ai dû mal à comprendre ta réticence, le forum va plutôt vite à charger, du https en plus ne rajoutera pas énorme de latence non ?
C'est vrai, j'ai surtout expérimenté des cartes ces temps-ci :) (https est nécessaire pour l'accès aux capteurs du mobile et pour les web applications)
Je ne sais pas pour le forum. C'est une bonne question, il faudra que j'essaye.
C'est vrai aussi que le forum est moins utile en itinérance que les fiches ou les cartes.

sly a écrit :
27 nov. 2019, 14:30
Je m'étais juste dis que cette fonctionnalité n'avait certainement pas été prévue, mais peut-être y'a-t-il un moyen de protéger uniquement ucp.php?mode=login quitte à retrouver du http une fois authentifié ?
Prévu, je ne pense pas. C'est un peu tordu quand même...
Je pense insérer une séquence comme ça dans un des hooks de ucp.php

Code : Tout sélectionner

if (window.location.protocol == 'http:' && window.location.host != 'localhost')
	window.location.href = window.location.href.replace('http:', 'https:');
Si tu veux, je le fais.
Par contre, revenir en http après, ça va dépendre de où va le visiteur.
On pourrait le laisser faire (quand il y a nécéssité...)

Re: [fait] HTTPS ?

par sly » 27 nov. 2019, 14:30

Dominique a écrit :
27 nov. 2019, 08:20
Quant à l’éradication du http et donc l'exclusion de tous les éloignés de la civilisation, je crains qu'on y arrive mais le plus tard possible pour WRI s'il te plait.
"exclusion", tout de suite les grands mots, n'exagérons pas non plus...
Toutefois, je n'ai aucunement l'intention de forcer du https pour une zone du site dans laquelle ne passe pas de données personnelles privées. Je dirais même que tant que je n'y vois aucun inconvénients (bien que ça nous pende au nez : google étant parti en croisade contre le http pour on ne sait quelle obscure raison sournoise, il finira par nous dé-référencer, signaler par du rouge, du orange ou autres messages angoissant) je voterais pour la résistance.
Dominique a écrit :
27 nov. 2019, 08:20
sly a écrit :
26 nov. 2019, 22:46
en phase 1 : que les mails qui partent du forum proposent des liens https pour tout le monde
je vote oui
Je vais essayer depuis l'admin de phpBB, ça doit bien se paramétrer quelque part.
Dominique a écrit :
27 nov. 2019, 08:20
sly a écrit :
26 nov. 2019, 22:46
en phase 2 : que l'accès au forum soit forcé en http par redirection
Je vote contre. Si c'est par défaut, il faudrait un moyen de revenir en http
J'ai dû mal à comprendre ta réticence, le forum va plutôt vite à charger, du https en plus ne rajoutera pas énorme de latence non ? Et dans un cas de mobilité sur réseau médiocre, je ne m'imagine pas vraiment lire et participer sur le forum, un vrai clavier avec un vrai écran me semble préférable de toute façon.
Mais admettons, sur le même principe qu'avant, je n'ai rien contre le fait que le contenu du forum soit accessible en http, c'est uniquement le formulaire de login que je souhaite protéger.
Je m'étais juste dis que cette fonctionnalité n'avait certainement pas été prévue, mais peut-être y'a-t-il un moyen de protéger uniquement ucp.php?mode=login quitte à retrouver du http une fois authentifié ?

Re: [fait] HTTPS ?

par Dominique » 27 nov. 2019, 08:20

sly a écrit :
26 nov. 2019, 22:46
J'entends toutefois l'argument qui dit que quand on est dans la cambrousse avec une connexion 2G on peut préférer accéder au site avec une latence minimum. Mais accéderait-on au forum dans ces situations ?
Ya pas que le 2G : https passe très mal sur 3G et 3G+
C'est un ariégeois qui le dit : tu ne m'aurais plus comme client quand j'irai voir ma famille :ours:
La fibre et le 4G, c'est bien pour la ville... essaye donc sur une aire d'autoroute déjà

Quant à l’éradication du http et donc l'exclusion de tous les éloignés de la civilisation, je crains qu'on y arrive mais le plus tard possible pour WRI s'il te plait.
sly a écrit :
26 nov. 2019, 22:46
en phase 1 : que les mails qui partent du forum proposent des liens https pour tout le monde
je vote oui
sly a écrit :
26 nov. 2019, 22:46
en phase 2 : que l'accès au forum soit forcé en http par redirection
Je vote contre. Si c'est par défaut, il faudrait un moyen de revenir en http

Claude Mauguier a écrit :
27 nov. 2019, 06:41
Le passage en https côté WRI va-t-il affecter non seulement ce qui en sort, mais aussi ce qui y rentre ?? Par ex.si on poste un lien en http,est-ce que ça va bloquer qqpart, du genre cartes espagnoles, comme disait Dominique :?: :?:
Soit rassuré, ça n'affecte ni la connexion ni la saisie / récupération des infos

Re: [fait] HTTPS ?

par Claude Mauguier » 27 nov. 2019, 06:41

Dominique a écrit : ... mon navigateur par défaut est "chrome" et ma page de démarrage "https://www.google.fr" (ben oui, on ne peut pas s'en passer :oops: )
Disons qu'on peut s'en passer à 85,847 %, pour les "travaux courants"
Firefox ==> Duckduck (Qwant est squelettique et pauvre en résultats) ==> etc. GG c'est juste une question de statistique en résultats de recherches (bien que DD trouve parfois ce que GG ne trouve pas), puisque l'échantillonnage ne se base pas sur les mêmes critères.
Mais c'est pas le sujet.
Le passage en https côté WRI va-t-il affecter non seulement ce qui en sort, mais aussi ce qui y rentre ?? Par ex.si on poste un lien en http,est-ce que ça va bloquer qqpart, du genre cartes espagnoles, comme disait Dominique :?: :?:

Haut