18008 sujets

Questions générales et questions de débutants

[Résolu] La connexion n’est pas sécurisée

Pages :
(reprise du message précédent)

Merci à tous pour vos réponses.
J'ai ajouté dans le répertoire /tests du site, qui est la racine du site de tests, la commande
Header set X-Robots-Tag "noindex"

J'espère que ça suffira à éviter l'indexation de ce répertoire, mais je pense qu'il va me falloir plusieurs semaines pour en avoir la confirmation.

Je me plonge dans la lecture du document sur le SSL
Au secours!

J'ai essayé de lire le fameux document de Nico
La seule chose que je comprends, c'est que c'est très compliqué à faire, que ça risque de f... le souk dans le site, que ça ne protège pas de tout, etc. effrayant!!!

Dans le cas d'un site ou il n'y a aucun formulaire et aucun cookie, j'espère ne pas avoir à passer des semaines à lire des documents abscons pour traiter un faux problème, dans l'unique but de complaire à la ligne des maîtres du web

J'ai besoin d'un truc plus simple, adapté à mon niveau de nullité dans ce domaine et qui se réduise à "faites ceci, puis cela" et basta!
a écrit :
Sauf que c'est une mauvaise raison. Car le SSL ne protège que le contenu, pas les métadonnées.


Pas tout faux, mais pas tout juste. Sauf erreur on ne peut pas voir quelle page exacte tu as consulté vu que la première ligne de la requête HTTP indiquant l'URL est derrière le handshake SSL.
Par contre c'est vrai, ça ne protège pas du fait qu'on peut voir quand tu t'es connecté sur le serveur. Contre ça il n'y a guère que TOR et les réseaux analogues, pour ceux qui sont parano à ce point.

En fait ce n'est pas si compliqué que ça de mettre en place SSL. C'est déjà tout prévu.
Let's encrypt notamment met tout en oeuvre pour que l'installation d'un certificat soit la plus facile possible sur son serveur, et c'est gratuit. De plus en plus d'hébergeurs proposent d'installer les certificats de Let's encrypt,
A mes débuts j'ai eu une période où j'avais hébergé mon site chez Infomaniak, c'est un très bon hébergeur, je suis certain qu'il y a quelque chose de prévu dans leur panel admin pour que ce ne soit qu'une affaire de quelques clics.

ET pour les anciennes URL en HTTP qui circulent encore peut-être par milliers ou millions partout sur la toile, j'ai vu passer je ne sais plus où qu'on pouvait s'enregistrer quelque part pour que les navigateurs les transforment d'eux-mêmes automatiquement.
ET ensuite il y a la redirection .htaccess qui permet de forcer les derniers qui ne suivent pas la règle.
A terme le but c'est bien d'éteindre complètement le port 80...

Comme tout le monde, je m'y mets gentiment ! Mais ça n'a rien de sorcier, contrairement à ce qu'on croit. En fait ça fait déjà plusieurs années que la transition est en route, ça a commencé après les révélations NSA. Pour les tout premiers c'était beaucoup plus compliqué. C'est juste que là, maintenant, Google nous force la main.
Même se mettre à OpenSSL en C++ n'est pas si méchant que ce que j'avais imaginé avant de commencer.

Rajout après la dernière réponse de PappyJP: la plupart de ce qui est décrit n'est pas entièrement nécessaire au début. Les protections XSS, tu peux mettre ça en place progressivement et tu n'es pas obligé pour que Google soit content, si j'ai bien compris.
Modifié par QuentinC (24 Mar 2017 - 15:58)
Merci de cette réponse
En consultant les FAQ de l'hébergeur, je vois bien qu'il y a une commande de la console pour créer et mettre en œuvre un certificat SSL, mais ils préviennent bien que c'est sans support de leur part en ce qui concerne la mise en œuvre.
En gros, c'est à moi de me débrouiller pour que tout soit dans les clous, ce qui veut dire qu'il faute que je comprenne les chausse trappes de ce mécanisme.
La façon dont c'est rédigé laisse entendre que dès qu'on est en https, tous les liens de toutes les pages doivent être en https.
Donc si j'ai dans un coin, bien caché, un lien du genre
<a href="http://www.osirisnet.net/machinchose">machinchose</a>

ou bien un
.liste{background_image:url("http://www.osirisnet.net/adresse-images.png");}

ça va déc...
Et que faire pour les liens vers d'autres sites, qui ne sont pas forcément en https?
Et pour les liens que les autres sites ont vers celui ci?

Tout cela m'a l'air diantrement compliqué...
Modifié par PapyJP (25 Mar 2017 - 15:58)
Bonjour.
PapyJP a écrit :

Donc si j'ai dans un coin, bien caché, un lien du genre
&lt;a href="http://www.osirisnet.net/machinchose"&gt;machinchose&lt;/a&gt;

ou bien un
.liste{background_image:url("http://www.osirisnet.net/adresse-images.png");}

ça va déc...

Bien caché ? Pas pour une recherche de chaines de caractères concernant les fichiers présents dans un dossier... Il y a ça dans Notepad++, il y a forcément ça aussi pour les autres éditeurs du moment.
Pour le reste, je ne saurais dire...
Smiley smile
Bien caché... ce peut être le résultat d'un script qui calcule des adresses, que sais-je?
C'est fou ce qu'on peut trouver dans un site créé en 2001 et qui a plus de 1000 pages.
Pour les liens internes ou vers d'autre sites cela n'a pas d'importance même si logiquement tu veux passer tout tes liens internes en https. C'est uniquement les éléments inclus dans la page font, image, typo, etc qui doivent être servis en https.

A savoir que faire des chemins comme ceci permet de ne pas avoir à se soucier du protocole :
<img href="//www.osirisnet.net/" alt="" />


Concernant les hébergeurs, 2 cas de figure ceux chez qui passer en https ne permette plus d'utiliser http donc là il faut bien prévoir à l'avance pour que tout les utilisateurs ne se retrouvent pas avec des alertes de sécurités dans tout les sens. Et les autres qui te permettent d'utiliser les 2 auquel cas c'est plus simple car on peut faire la bascule quand on veut.

Personnellement j'ai fais un certificat auto signé en local pour que mon xampp soit accessible en https://localhost/truc-bidule comme ça je peux tester rapidement. Me souviens plus du tuto que j'ai suivi mais pour ceux qui veulent il faut chercher autour des certificats auto signés
bzh a écrit :
A savoir que faire des chemins comme ceci permet de ne pas avoir à se soucier du protocole :
<img href="//www.osirisnet.net/" alt="" />

Par ailleurs, il est toujours possible d'utiliser une balise BASE dans la section HEAD de la page et ne mentionner ensuite que les chemins relatifs pour tout chemin interne.
hébergeur a écrit :

En effet, pour une raison que nous ignorons Google a changé sa politique de référencement et indexe les sites en HTTPS si le serveur web lui répond par une connexion réussie (code 200) via le protocole HTTPS sans vérifier la présence ou non d'un certificat SSL.

Pour empêcher cette indexation, nous générons à présent des erreurs 503 si le certificat SSL n'est pas installé sur le serveur lors d'une connexion en HTTPS.

Information précieuse en ce qui me concerne, en effet jusqu'à maintenant je ne voyait pas l'intérêt de parametrer une erreur 503 par défaut - proposé par node.js par exemple - plutôt que de laisser un code 200. Maintenant j'en apperçois les éventuels dommages colatéraux...

Sinon, en ce qui me concerne, mes sites sont en https depuis un an environ. Aucun souci de ce côté là. J'ai fais une adaptation de mes thèmes pour WordPress dans ce sens et, à ce sujet, attentions aux liens antérieurs à la MAJ pointants sur les medias.
Modifié par Olivier C (26 Mar 2017 - 13:19)
PapyJP a écrit :
Et que faire pour les liens vers d'autres sites, qui ne sont pas forcément en https?

@papy : seuls les liens internes sont concernés par la certification SSL, ainsi que les liens externes important des ressources, pas les liens pointant des adresses externes (encore heureux !).
PapyJP a écrit :
Et pour les liens que les autres sites ont vers celui ci?

RewriteRule ^(.*)$  https://monsite.fr/$1  [R=301,L]

Modifié par Olivier C (27 Mar 2017 - 07:04)
Pages :
Sujet clos
Aller à