[en service] Forçage https

Problèmes, bugs et difficultés rencontrés sur le site.
Avatar du membre
sly
Messages : 4739
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

[en service] Forçage https

Message par sly »

Dominique a écrit : 31 mai 2022, 18:04 SLY -> Ça met un peu à mal la stratégie de ne pas replier http sur https : la plupart des explo et A.V. refusent d'envoyer un mot de passe sur http et ça bloque ceux qui ne lisent pas bien le message d'erreur
Bah, on s'y était mentalement préparé !
Depuis le temps que google nous bassine/impose du https pour tout et tout le temps, on savait que le reste du monde qui choisi de manière "éclairée" allait suivre... bhééé béééhééé

Après, pour l’authentification login+pass, je ne peux pas non plus donner tort à ce choix "prudent" : n'étant pas facile de différentier un site bancaire qu'il faut absolument protéger d'un forum sur les refuges dont le vol du mot de passe ne fera pas s'écrouler le monde .

Je relance donc ma proposition initiale, si elle est réaliste : Faire que tout le forum (et surtout l'authentification) force un repli sur https, laissant quand même la partie carte+api dont on peut parfois souhaiter gagner un peu de rapidité en faisant l'économie du https dans les endroits reculé de la montagne profonde.

Note: à titre perso, je navigue refuges.info en https tout le temps et partout, je n'ai pas remarqué de différence significative de rapidité vs https, mais je comprends que l'on puisse vouloir laisser à l'utilisateur le choix.
Avatar du membre
Dominique
Messages : 3454
Enregistré le : 08 avr. 2006, 21:58

Re: Forçage https

Message par Dominique »

sly a écrit : 31 mai 2022, 21:11Note: à titre perso, je navigue refuges.info en https tout le temps et partout, je n'ai pas remarqué de différence significative de rapidité vs https
Je n'ai vu de différence qu'en mobile 3G. Probablement un problème de latence.
Je n'ai pas réessayé récemment pour voir si ça le faisait encore.

sly a écrit : 31 mai 2022, 21:11 Je relance donc ma proposition initiale, si elle est réaliste : Faire que tout le forum (et surtout l'authentification) force un repli sur https, laissant quand même la partie carte+api dont on peut parfois souhaiter gagner un peu de rapidité en faisant l'économie du https dans les endroits reculé de la montagne profonde.
Je ne mettrais le forçage que sur la page de connexion.
Le problème, c'est la zone connexion en bas de la page du forum, mais on peut la masquer.
Je fais ça demain :)
Avatar du membre
Dominique
Messages : 3454
Enregistré le : 08 avr. 2006, 21:58

Re: Forçage https

Message par Dominique »

Bon, voilà qui est fait.
Il doit y avoir une solution en 2 lignes dans .htaccess mais pas moyen de la faire marcher
Je suis passé par un header php ...
Avatar du membre
sly
Messages : 4739
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: Forçage https

Message par sly »

testé, ça marche !
Répondre