https ou pas?

On y discute de tout, ou presque...
Répondre
Avatar de l’utilisateur
funkygoby
Membre
Membre
Messages : 106
Inscription : 15 mai 2016, 15:54
Status : Hors-ligne

Salut, j'aimerais avoir votre avis et votre experience par rapport au tout-https.
Je ne bosse pas dans l'informatique mais j'ai quand même 2 sites très simples (avec un peu de php pour lire une bdd mysql) chez toile-libre. J'étais assez fier d'être arrivé à ce résultat par moi même et là j'apprend que ma mère ne peut pas consulter la dernière version de mes sites.
Elle utilise firefox (apparement à jour) au boulot et arrive à se connecter à d'autres sites sans problème.

Je soupçonne les dernières version firefox de banir les sites non-https. Est ce que j'ai bon?
Si oui, il va falloir que je me mette au https. Je commence par quoi? letsencrypt?

Bien à vous.
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

Non, firefox ne bannit pas les sites HTTP ... pour preuve, arrives-tu à lire depuis son poste : http://man.openbsd.org/
Mon avis le problème vient d'ailleurs ... quel est ton url, stp ?

Ensuite, il est préférable que tu bascules en HTTPS. Mais, préférable ne signifie pas obligatoire ... et, oui, Let'sEncrypt parce que Libre, "communautaire", gratuit - pour l'instant - et assez facile à gérer ...
Tu trouveras sur notre wiki comment le faire pour Apache ou Nginx ...
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar de l’utilisateur
funkygoby
Membre
Membre
Messages : 106
Inscription : 15 mai 2016, 15:54
Status : Hors-ligne

http://gingerbreadboys.com c'est le site de mon projet. En bas de page, tu trouveras un lien vers mon site perso mais il n'y a pas de différence entre les deux sites (même base de code). Je sais que gingerbreadboys posait problème sur sa machine.

edit: J'ai essayé de rendre le site "responsive", adaptable en fonction de la taille de l'écran. Il marche sur mon téléphone et toutes les machines sur lesquelles j'ai pu poser la main.
hybridemoineau
Membre
Membre
Messages : 390
Inscription : 24 avr. 2016, 15:34
Status : Hors-ligne

Aucun souci chez moi, avec ou sans extensions (dont https everywhere et requestpolicy) pour accéder à ton site, avec la version suivante de firefox-esr

Code : Tout sélectionner

45.1.1esr-1~bpo80+1 991
        500 http://mozilla.debian.net/ jessie-backports/firefox-esr amd64 Packages
Avatar de l’utilisateur
funkygoby
Membre
Membre
Messages : 106
Inscription : 15 mai 2016, 15:54
Status : Hors-ligne

Tiens c'est marrant, j'ai 45.2.0esr-1~deb7u1 0 (sous wheezy).
Bref, aucun problème non plus avec cette version, ni avec firefox 47 android.
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

Pour moi, pareil, sachant que FF est mon browser de prédilection ;)
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar de l’utilisateur
funkygoby
Membre
Membre
Messages : 106
Inscription : 15 mai 2016, 15:54
Status : Hors-ligne

Ça doit être les burgers.

edit: Merci des retours en tout cas.
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

oui, ... ou ... le virus ... entre la chaise et le clavier :p
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar de l’utilisateur
Mimoza
Contributeur
Contributeur
Messages : 655
Inscription : 22 avr. 2016, 12:00
Localisation : Terre
Status : Hors-ligne

Personnellement je ne mettrais pas de https sur ce genre de site.
A quoi sert les https ? A sécuriser les échanges entre le client et le serveur pour 2 principale raison. 1 que quelqu'un ne puisse lire en claire ce qui passe par le réseau et 2 pour éviter que quelqu'un d'autre se fasse passer pour toi.
Une de ces deux raison te parait elle essentielles pour ton site ?
Ensuite on peut se demander quel sont les inconvénient du https. 1 La mise en place pas forcément très simple, même si avec let's encrypte ça va dans le bon sens de la simplification et automatisation. 2 Le chiffrement des échanges n'est pas gratuit en terme d'énergie. Le serveur et le client travail plus, donc consomme très légèrement plus d'énergie pour discuter.
Une de ces 2 raison est elle importante a tes yeux ?

Bref après c'est a toi de faire ton choix. Pour un site vitrine sans enjeux mettre du https n'est absolument pas une obligation, beaucoup te le conseillerons, moi je reste plus réservé pour ton cas.
Avatar de l’utilisateur
funkygoby
Membre
Membre
Messages : 106
Inscription : 15 mai 2016, 15:54
Status : Hors-ligne

Résolu!! La faute à ma mère. Elle se servait de l'onglet recherche au lieu de la barre d'adresse. Du coup, elle se retrouvait avec un resultat duckduckgo. Comme je n'ai rien referencé chez eux, ça afficher des suggestions.

@Mimoza: c'est exactement mon opinion.
Ça me gonfle cette manie de se jeter sur toutes les nouvelles technos.
Certes, en plus de tout ce que tu dis, le https apporte aussi l'authenticité du contenu. À mon avis si un visiteur reçoit mon site avec un contenu forgé par un MitM c'est qu'il doit avoir d'autres problèmes plus graves à regler.
Tu as peut être remarqué que j'ai fait en sorte d'avoir un site aussi simple que possible, du html, du css, des images basta! Rien ne tourne coté client, tout juste un peu de php coté serveur.
À mon niveau, le https n'est qu'une complication que je préfére esquiver.

Merci à vous.
Résolu.
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

funkygoby a écrit :Résolu!! La faute à ma mère. Elle se servait de l'onglet recherche au lieu de la barre d'adresse. Du coup, elle se retrouvait avec un resultat duckduckgo. Comme je n'ai rien referencé chez eux, ça afficher des suggestions.
Ahhh, le fameux virus entre la chaise et le clavier :p
funkygoby a écrit :@Mimoza: c'est exactement mon opinion.(...)
À mon niveau, le https n'est qu'une complication que je préfére esquiver.
(...)
Que je ne partage pas du tout ;) (cf. mon site perso : html5, css3, bootstrap ... et https, qui est loin s'en faut n'est pas une nouvelle techno ! )
Mais, si tu ne maîtrises pas et/ou que tu ne veux pas t'enquiquiner ... whynot ! ;)

Par contre, côté techno qu'il est intéressant à envisager de s'enquiquiner, c'est de gérer les entêtes HTTP ... pour "enquiquiner ceux qui sont pas gentils" ... de type :
- Access-control-allow-origin, Content-Security-Policy, X-Content-Type-Options, (X-)Frame-Options, X-XSS-Protection, etc ...
Là, ça vaut le coup à s'efforcer de gérer ... autant faut-il avoir la main dessus :p

Bref, quoiqu'il en soit, content pour toi que tu es compris le problème que tu avais à gérer !
++
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Répondre