[stand by] HTTPS ?

Problèmes, bugs et difficultés rencontrés sur le site.
Avatar du membre
Dominique
Messages : 3704
Enregistré le : 08 avr. 2006, 21:58

Re: [fait] HTTPS ?

Message par Dominique »

sly a écrit : 27 nov. 2019, 14:30google étant parti en croisade contre le http pour on ne sait quelle obscure raison sournoise, il finira par nous dé-référencer
Je n'ai effectivement pas compris pourquoi tous ces grands groupes tiennent tant que ça à nous protéger...
Par contre, tu as raison pour le déréférencement : ne pas être "responsive", "mobile firendly" et https est clairement une cause de baisse du rank.
Ce que je ne sais pas, c'est comment présenter le site aux bots pour qu'ils ne référencent que https (ou bien le prennent-ils par défaut quand il existe, auquel cas on est bon ?)

sly a écrit : 27 nov. 2019, 14:30que les mails qui partent du forum proposent des liens https pour tout le monde
Je vais essayer depuis l'admin de phpBB, ça doit bien se paramétré quelque part.
Dans phpBB, je ne vois pas mais quid des BBcodes ?

sly a écrit : 27 nov. 2019, 14:30J'ai dû mal à comprendre ta réticence, le forum va plutôt vite à charger, du https en plus ne rajoutera pas énorme de latence non ?
C'est vrai, j'ai surtout expérimenté des cartes ces temps-ci :) (https est nécessaire pour l'accès aux capteurs du mobile et pour les web applications)
Je ne sais pas pour le forum. C'est une bonne question, il faudra que j'essaye.
C'est vrai aussi que le forum est moins utile en itinérance que les fiches ou les cartes.

sly a écrit : 27 nov. 2019, 14:30Je m'étais juste dis que cette fonctionnalité n'avait certainement pas été prévue, mais peut-être y'a-t-il un moyen de protéger uniquement ucp.php?mode=login quitte à retrouver du http une fois authentifié ?
Prévu, je ne pense pas. C'est un peu tordu quand même...
Je pense insérer une séquence comme ça dans un des hooks de ucp.php

Code : Tout sélectionner

if (window.location.protocol == 'http:' && window.location.host != 'localhost')
	window.location.href = window.location.href.replace('http:', 'https:');
Si tu veux, je le fais.
Par contre, revenir en http après, ça va dépendre de où va le visiteur.
On pourrait le laisser faire (quand il y a nécéssité...)
Avatar du membre
Claude Mauguier
Messages : 4232
Enregistré le : 16 févr. 2005, 01:00
Localisation : Isére

Re: [fait] HTTPS ?

Message par Claude Mauguier »

sly a écrit :... c'est uniquement le formulaire de login que je souhaite protéger.
Soit, mais "protéger" le login empêche aussi d'introduire un lien :?: comme ici :

uBlock₀ a empêché le chargement de la page suivante :
http://pagead2.googlesyndication.com/
À cause du filtre suivant :
||googlesyndication.com^
Trouvé dans : Peter Lowe’s Ad and tracking server list

C'est à dire cette liste : moz-extension://900b144d-7948-4d39-94ee-7c00264658e4/asset-viewer.html?url=plowe-0
Ceci suite à l'introduction par Dominique de cette question : http://www.refuges.info/forum/viewtopic ... 367#p31770 , avant que tu ne corriges http ===> https
Avatar du membre
Dominique
Messages : 3704
Enregistré le : 08 avr. 2006, 21:58

Re: [fait] HTTPS ?

Message par Dominique »

sly a écrit : 27 nov. 2019, 14:30Je m'étais juste dis que cette fonctionnalité n'avait certainement pas été prévue, mais peut-être y'a-t-il un moyen de protéger uniquement ucp.php?mode=login quitte à retrouver du http une fois authentifié ?
Voilà, c'est fait (et facile à défaire si ça ne va pas)
Les pages qui comportent un champ <input type="login"... > sont automatiquement redirigées vers https
C'est vrai pour la page d'accueil si on n'est pas connecté (bandeau en bas), pour la page de connexion, d'enregistrement, la connexion au panneau d'administration ... et ça sera aussi vrai si j'en oublié une ou deux dans un coin.
Par contre, la navigation reste sur https jusqu'à ce que l'internaute supprime le "s" manuellement dans la barre d'adresse.
ça route quasiment tout le monde sur https mais ça laisse un échappatoire pour ceux qui ont vraiment identifié la source de leur problème.

Pour avis, modification, ...
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: [fait] HTTPS ?

Message par sly »

Dominique a écrit : 27 nov. 2019, 15:39 Dans phpBB, je ne vois pas mais
Alors je crois avoir trouvé l'option, mais sa description n'étant pas super claire je n'arrive pas à savoir si ça ne modifie que ce que je veux ou si ça risque de forcer autre chose du forum à https.
C'est dans :
Général -> Configuration du serveur -> Paramètres du serveur -> Paramètres des URLs du serveur
Avec : Forcer les paramètres URL du serveur = oui
Protocole du serveur : https://
explication donnée : "Utilisé comme protocole du serveur si ces paramètres sont forcés. Si vide ou non forcé, le protocole est déterminé par les paramètres de cookie sécurisé. (http:// ou https://)"

Avant on était à "non forcé" mais je pigais pas bien cette histoire de "Si vide ou non forcé, le protocole est déterminé par les paramètres de cookie sécurisé"

Et puis dans cette discussion ici même, j'ai reçu des alertes du forum me disant "Notification de nouveau message dans le sujet - [fait] HTTPS ?" (c'était toi ce matin 8h00 puis claude vers 17h00)
Et dedans, j'avais des liens en http:// qui me ramenait au forum. Alors que je suis utilisateur habituel en https.
Puis, sans que je ne changer rien, un nouveau message arrive vers 20h00 (toi à nouveau) et cette fois, paf, les liens sont en https dans le mail !!
Je sais que tu indiques que tu as ajoutés un code pour forcer le login en https, mais je ne vois pas pourquoi ça changerait les liens qui me sont envoyé à moi de http à https ??
Je fais alors des tests (zone dév) pour conclure à un comportement pas banal : les liens dans les mails de notification ne vont pas varier en fonction du destinataire mais de l'expéditeur :
Si quelqu'un connecté en http:// au forum envoi un message, je serais notifié avec un lien :
Pour consulter le premier message non lu, cliquez sur le lien suivant :
http://www.refuges.info/forum/viewtopic ... d#unreaden
et https:// si il est connecté en https://

Je ne leur en veut pas aux dév phpBB, on va pas demander aux utilisateurs qui créer un compte, sur un forum dont les webmasters n'arrivent pas à se décider entre http et https ;-), en plus des dizaines d'options, s'ils veulent être notifié avec des liens en http ou https, tenant et aboutissant qu'ils ignorent sans doute majoritairement, donc les dév trichent et détectent le protocole de celui qui envoi le message, supposant que tout le monde est dans ce cas.

Bref, y'a plus qu'a essayer de forcer à https:// cette option, j'essaye... (tester en dév, ça semble faire ce que je suggérais)
Dominique a écrit : 27 nov. 2019, 15:39 quid des BBcodes ?
Lesquels ?
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: [fait] HTTPS ?

Message par sly »

Dominique a écrit : 27 nov. 2019, 20:01 Les pages qui comportent un champ <input type="login"... > sont automatiquement redirigées vers https
ça semble marcher...
Toutefois, la page d'accueil du forum étant concernée (y'a un login possible en bas) dans les faits nous nous rapprochons bigrement d'imposer tout le forum en https...
A part changer soit même le https en http (réservé aux quelques happy few = toi) et les liens d'accès direct, typiquement depuis les fiches des points qui sont de toute façon indexées par google en https. Il ne va plus rester grand monde qui naviguera le forum en http...

Techniquement, c'est pas trop un charcutage qui nous fera des misères lors de la prochaine mise à jour de phpBB ? sinon on peut en rester à la phase 1 que j'évoquais (juste les liens dans les emails). Après tout, pour la majorité des utilisateurs, qui seront venu sur le site depuis google, tout sera en https et notre mise en cause dans l'éventuel vol d'un mot de passe devrait être assez limité.
(bing et qwant nous indexent toutefois toujours en http:// )
Avatar du membre
Dominique
Messages : 3704
Enregistré le : 08 avr. 2006, 21:58

Re: [fait] HTTPS ?

Message par Dominique »

sly a écrit : 27 nov. 2019, 22:53Techniquement, c'est pas trop un charcutage qui nous fera des misères lors de la prochaine mise à jour de phpBB ?
Normalement non : c'est l'interface officiel "hook" : juste un fichier dans notre zone d'extension complètement indépendant de toute variable interne phpBB.
Je ne pense pas que cet interface ait la moindre chance de changer un jour, il y a trop de sites l'utilisant.

sly a écrit : 27 nov. 2019, 22:53dans les faits nous nous rapprochons bigrement d'imposer tout le forum en https...
A part changer soit même le https en http (réservé aux quelques happy few = toi)
Ha ben, oui...
D'un autre côté, c'est ce que tu proposais, probablement avec certaines raisons... et que font plus violemment d'autres sites.
Pour l'instant, je ne connais que SQFP.info et moi ayant signalé le problème.
http://www.refuges.info/forum/viewtopic ... s&start=40
Attendons le retour d'autres personnes.
Sinon, j'ai pensé à un bouton en bas de page à côté de "version mobile" pour passer en http (avec un cookie pour s'en rappeler ?) mais ça fait usine à gaz.

sly a écrit : 27 nov. 2019, 22:53les liens d'accès direct, typiquement depuis les fiches des points
Zut, pas pensé à ça.
N'est il pas possible avec les BBcodes de ne pas mettre de schéma ? genre //refuges.info
J'utilise ça massivement pour les cartes avec de bons résultats.
(je ne connais pas trop le fonctionnement des BBcodes)
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: [fait] HTTPS ?

Message par sly »

Dominique a écrit : 28 nov. 2019, 08:03 D'un autre côté, c'est ce que tu proposais, probablement avec certaines raisons... et que font plus violemment d'autres sites.
Ho mais moi, ça me va, pas de problème de ce coté là. Mais j'ai lu tes réticences, celles qu'avait formulé SQFP.info et je vois qu'avec ces modifs, on en revient presque à forcer le https sur le forum pour la grande majorité des utilisateurs. Alors je me place de votre point de vu pour soulever cette remarque.
Mais comme tu dis plus bas, faisons comme ça, et attendons de lire les retours s'il y en a.

Pour ce qui est de la pérénité du hook, si ça ne devient plus possible il sera toujours possible de repasser à la solution "forcer le https" puisque c'est à quoi nous sommes arriver. (On mettra alors une exception pour toi ;-) )
Dominique a écrit : 28 nov. 2019, 08:03 Sinon, j'ai pensé à un bouton en bas de page à côté de "version mobile" pour passer en http (avec un cookie pour s'en rappeler ?) mais ça fait usine à gaz.
ça fait compliqué mais aussi opaque pour la majorité des utilisateurs, y'a déjà des tas de menus que les gens ont du mal à comprendre, je doute que sur le sujet http/https ils ne savent bien ce que tout ça implique. Je préfère choisir le https par défaut pour eux, puis offrir la possibilité (expliquer comment enlever le s dans l'url ou créer un bookmark) pour les "power users" se trouvant en Ariège avec une 2G qui patine...
Dominique a écrit : 28 nov. 2019, 08:03
sly a écrit : 27 nov. 2019, 22:53 les liens d'accès direct, typiquement depuis les fiches des points
Zut, pas pensé à ça.
N'est il pas possible avec les BBcodes de ne pas mettre de schéma ? genre //refuges.info
J'utilise ça massivement pour les cartes avec de bons résultats.
?
Les gens plongés dans le js en permanence en oublient l'origine des liens web, au début, c'était pour accéder à d'autres pages du même site, et on faisait ça avec un lien relatif, qui préservait ainsi le lieu, l'adresse serveur et... le schéma. (et ça existe toujours !)
Donc, ces liens vers le forum étant relatifs, le shéma "choisi" par l'internaute sera préservé. Pas de problème de ce coté là.
J'indiquais juste une des méthodes qui permettent de revenir au forum en http (à savoir, se connecter avec son user, retourner sur le moteur de recherche Qwant, chercher refuge info, arriver sur le site en http puis retourner sur le forum par le lien forum ou les fiches de point qui amène au forum)


Bref, je me résume : Tout va bien.
essayons ta solutions pour les logins, et la mienne pour les liens dans les emails.
Avatar du membre
Dominique
Messages : 3704
Enregistré le : 08 avr. 2006, 21:58

Re: [fait] HTTPS ?

Message par Dominique »

Je remet un sujet ici car il s'agit bien de http/https, bien que j'aie un peu mélangé les sujets
Dominique a écrit : 25 déc. 2019, 17:11 Essai depuis une zone à couverture faible :
Chargement du massif Vercors :

Https:
Chargement de la page html à 5 secondes
Chargement du fond de carte et du contour du massif à 20 secondes (dalles de 43k + contour de 1,2k)
Chargement des points à 50 secondes (pourtant il ne fait que 522k)
Http :
Chargement de la page html à 5 secondes
Chargement du fond de carte et du contour du massif à 10 secondes
Chargement des points à 50 secondes
(j'avais vidé le cache entre deux)

Moralité : https ne ralenti pas par rapport à http à débit constant.
Par contre, le chargement des points est très long (il s'agit bien du chargement car ma nouvelle version d'Openlayer remonte les statuts de connexion)

J'avais constaté, il y a quelques années, de gros blocages (allant jusqu'au refus de charger la page) dans certaines condition de G+ en montagne mais j'ignore s'il y avait un problème particulier où si une évolution technologique a amélioré ce point.

*** Oups : je n'ai pas pris la nouvelle API sur dom ***
Avatar du membre
Dominique
Messages : 3704
Enregistré le : 08 avr. 2006, 21:58

Re: [fait] HTTPS ?

Message par Dominique »

Après 3 jours de test, plus de déconnexion quand la modif de forçage du https sur page login est enlevée.
C'est vrai qu'elle était pas trop standard. De là à ce que ça ne plaise pas à un quelconque logiciel de sécurité (explorateur ou forum ?)

Après les tests (sur une zone faible seulement !), on pourrait reprendre la discussion sur le basculement "standard" (DNS ? .htaccess ? ...)
Après les fêtes, bien entendu
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: [fait] HTTPS ?

Message par sly »

Dominique a écrit : 27 déc. 2019, 15:02 Après les fêtes, bien entendu
Vaudrait mieux car là je ne comprends rien...
Désolé d'avoir dérangé les posts, mais finalement on parle des déconnexions du forum ?
C'est pas ici :
viewtopic.php?f=2&t=9386 ?

Ou alors est-ce que le diagnostic est finalement que les déconnexions sont dûes au bout de js qui force le https sur le forum ?
Si oui, je croyais qu'on avait déjà supprimé ce comportement "bidouille" sur www

Dominique a écrit : 27 déc. 2019, 15:02 Après les tests (sur une zone faible seulement !), on pourrait reprendre la discussion sur le basculement "standard" (DNS ? .htaccess ? ...)
Basculement de quoi vers quoi ?
Tu veux re-forcer le https sur le forum pour tous ?
Avatar du membre
Dominique
Messages : 3704
Enregistré le : 08 avr. 2006, 21:58

Re: [fait] HTTPS ?

Message par Dominique »

sly a écrit : 27 déc. 2019, 15:36Ou alors est-ce que le diagnostic est finalement que les déconnexions sont dûes au bout de js qui force le https sur le forum ?
Si oui, je croyais qu'on avait déjà supprimé ce comportement "bidouille" sur www
Je ne l'ai supprimé que le 22 décembre.
Depuis, plus de déconnexion.
Je ne dis pas que c'était lui le coupable, mais ça me calme de faire des bidouilles sur le sujet.
l'autre bidouille, c'était le SameSite=Strict que j'ai supprimé le 12 décembre sans améliorer la situation.

sly a écrit : 27 déc. 2019, 15:36Tu veux re-forcer le https sur le forum pour tous ?
Ou bien on reste comme on est : celui qui se sera connecté en https et aura des marque-pages en https restera en https, les autres en http (donc si j'ai bien compris, une minorité).
Après tout, le risque n'est pas bien grand et on empêche personne de passer en https avant de se connecter.

Ou bien, on cède aux pressions et on applique la même politique que les autres sites : redirection vers https pour tous et on attend les remarques.
J'avais constaté des problèmes il y a 5 ans dans un coin reculé de l'Ariège mais ça a peut-être été amélioré depuis.
La seule autre remarque était celle de SQPF et date de 2016, soit à peu près de la même période.
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: [fait] HTTPS ?

Message par sly »

Rester comme on est, tant que google & co ne nous forcent pas la main, ça me convient.