Obliger la navigation avec HTTPS ?

Non / Oui / Seulement aux membres connectés ?

a marqué ce sujet comme résolu.

Bonjour tout le monde,

Est-ce qu'il faut obliger la navigation avec HTTPS ? La question est déjà revenue plusieurs fois et vu que l'Article 2 de la Loi sur le Renseignement vient d'être votée, je pense qu'elle va revenir. Je pense (à la vue des ces deux pull requests ici et ) que les développeurs sont plutôt pour forcer l'HTTPS pour les membres connectés et sur les pages de connexion et inscription (mais je peux me tromper).

Je propose donc que l'on débatte de cette question sur ce sujet. Je vois trois réponses possible, mais il y en a peut-être d'autre :

  • Pour ;
  • Pour mais seulement pour les membres connectés ;
  • Contre.

Qu'en pensez-vous ?

J'ai créé un petit sondage Doodle pour que l'on se fasse une idée des opinions.

+3 -0

Il est grand temps que l’https devienne systématique sur internet. Si on laisse le choix à l’utilisateur ce sera de fait google qui choisira et ce sera de l’http.

Donc à mon sens, forcer la sécurité est ce qu’il y a de mieux. Après si ça pose des problèmes de perf pour le site je conçois qu’on puisse vouloir mettre de l’eau dans son vin.

+5 -0

Ce n’est pas une question de sécurité, enfin pas pour les utilisateurs du site en tout cas. Comme dit plus haut un utilisateur non connecté sur une partie du site sans données sensibles n’a pas besoin d’une connexion sécurisé. C’est juste que le chiffrement global des communications sur internet marche mieux si tout le monde chiffre tout le temps.

Note : j’ai taper « zeste de savoir » dans google et le premier lien est en https en fait, ce n’est pas le cas pour DuckDuckGo par contre.

+1 -0

Je pense comme simbilou que la navigation via HTTPS est l'avenir. D'ailleurs, si on croit ce que dit cet article, Firefox va peut-être (dans quelques années) restreindre l'utilisation de certaines fonctions aux sites en HTTPS !

Une alternative est peut-être de ne forcer l'HTTPS qu'aux membres et d'envoyer une en-tête HSTS aux navigateurs, ce qui fera que les utilisateurs navigueront de base en HTTPS mais (corrigez moi si je me trompe) permettra aux applications qui le veulent de se connecter en HTTP ?

+1 -0

.... Au risque de me faire des ennemis, je préfère avoir le choix d'activer ou non le HTTPS…pour une raison toute simple, c'est que je doit me logger lorsque je me connecte a internet via ma résidence étudiante, ou via le wifi de mon école(ce qui arrive très régulièrement, vu que dans le cas du wifi, je dois me relogguer toute les 30 minutes, c'est une mesure anti-jeux-en-réseau-dans-les-cours....).

Et que pour me logger, les 2 utilisent un portail captif....Qui est détectée comme une attaque de l'homme du milieu (parce que ça en est bien une :p )

Lorsque le site est en HTTPS, la redirection vers le portail captif ne se fait pas (logique ^^ )

Si HSTS est utilisé, je vais devoir ouvrir un nouvel onglet vers un nouveau site en HTTP non chiffré..et c'est pas cool. J'ai mis ZDS en page d’accueil de chrome car il me permet en même temps de tomber sur le portail captif, ou de tomber sur le site si je suis connecté ^^

Peut être qu'il est possible d'activer une option dans l'espace membre "forcer le HTTPS" ou non, comme ce fut le cas sur youtube par le passé?

+2 -0

Je suis toujours en HTTPS et j'aurais envie de dire oui au HTTPS, mais vu qu'il y a peut-être certains qui utilisent un proxy HTTP par exemple, j'aurais tendance à suivre gusfl.

L'option « forcer le HTTPS » semble être une bonne idée. Laisser le choix est une bonne idée, mais encore faut il que cette option soit visible. Si l'option existe pour que la plupart des membres l'ignorent, alors elle ne vaut pas le coup.

Finalement la question est compliqué… même si forcer le HTTPS serait bien.

+0 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte