Forcer le HTTPS pour les membres connectés

Bonjour à tous,

Que pensez-vous de forcer le HTTPS pour les membres connectés ainsi que à la connexion et à l'inscription ?

Poir information, il y a eu un début de débat sur cette PR pour savoir si l'on doit forcer le HTTPS partout, pour les utilisateurs connectés ou simplement indiquer qu'une connexion sécurisée est possible.

Situphen

C'est quoi cette histoire de post-snowden ? L'informatique n'a pas changé, les mêmes règles de sécurités sont valables avant et après. En ce qui me concerne, faire toujours les authentifications en https, ça me semble sain, pour le reste du site, il n'y a aucun intérêt à passer en https (sauf sur la zone admin).

J'avoue que perso je trouverais ça plus logique d'avoir du SSL partout, ne serait-ce que pour que les services externes (YouTube, etc.) soient correctement chargés une bonne fois pour toute (les mélanges dans tous les sens c'est le bordel). Par contre ça limitera peut-être l'utilisation de certains services qui n'ont pas de SSL de leur côté (comme c'était le cas avec jsfiddle encore récemment).

Après que les pages les plus externes (accueil, CGU, asso…) soient accessibles en HTTP pourquoi pas.

Sachant que la différence de performances sur mobile est pas vraiment perceptible (je dis ça en ayant un simple Nexus 4, donc j'imagine que sur les modèles plus récents ça doit pas trop changer).

À noter aussi que Google référence mieux les sites proposant du HTTPS : je sais pas s'il y a une différence si on le force par contre (?)

À noter aussi que Google référence mieux les sites proposant du HTTPS : je sais pas s'il y a une différence si on le force par contre (?)

Enfin, aux dernières nouvelles la seule information fiable disponible c'était "ça joue à la marge, moins de 1%".

Ce n'est donc clairement pas un critère : avoir du vrai contenu original, par exemple, est beaucoup plus important.

Actuellement oui, mais dans un futur relativement proche ça risque d'augmenter.

Autant se préparer plutôt que de devoir réagir un peu en urgence plus tard, non ?

Franchement ? Non.

Faire des bidouilles juste pour essayer de gratter un peu de SEO, surtout quand comme ici c'est sur des bases purement spéculatives, c'est l'une des pires choses que l'on puisse faire, et l'une des pires excuses possible pour implémenter une technologie ou faire un choix technique.

Le problème du SEO, c'est qu'à moins d'être Google et une fois épuisés les conseils de bon sens, le reste c'est de la pure divination (comparer des recommandations d'agences SEO est d'ailleurs assez instructif de ce point de vue, surtout quand tu commences à leur demander une source).

Pour moi on a absolument aucun intérêt à dépenser le moindre effort dans ce genre de considération mesquines : suivons les conseils officiels de Google (ceux qu'on trouve sur leurs sites) et surtout produisons un max de contenu original et pertinent. Là au moins on est sûrs que ça fonctionnera.

Je parlais pas uniquement de Google ni de SEO mais soit.

Ça me semble aussi plus logique de ne maintenir que la version avec SSL que de devoir mettre des conditions un peu partout pour gérer les deux cas. Je pense que les développeurs ne s'en porteront que mieux. Même si ça limite quelques choix (cf. jsfiddle & co).

Ou alors il faut revoir tous les liens pour virer le protocole (commencer par //zestedesavoir.com/…), histoire d'être tranquille…