Obliger la navigation avec HTTPS ?

Non / Oui / Seulement aux membres connectés ?

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Bonjour tout le monde,

Est-ce qu'il faut obliger la navigation avec HTTPS ? La question est déjà revenue plusieurs fois et vu que l'Article 2 de la Loi sur le Renseignement vient d'être votée, je pense qu'elle va revenir. Je pense (à la vue des ces deux pull requests ici et ) que les développeurs sont plutôt pour forcer l'HTTPS pour les membres connectés et sur les pages de connexion et inscription (mais je peux me tromper).

Je propose donc que l'on débatte de cette question sur ce sujet. Je vois trois réponses possible, mais il y en a peut-être d'autre :

  • Pour ;
  • Pour mais seulement pour les membres connectés ;
  • Contre.

Qu'en pensez-vous ?

J'ai créé un petit sondage Doodle pour que l'on se fasse une idée des opinions.

Médicament flemmard aux pul(p)sions imprécises. “Don’t wait for the perfect moment. Take the moment and make it perfect.”

+3 -0
Staff

+1 pierre

Pour les données sensibles (mots de passes, token de connexion, etc.) ok, pour le reste du site, quand quelqu'un n'est pas connecté je ne vois pas l'intérêt.

La page d'adhésion a l'asso devrait peut etre l'être aussi.

+4 -0

Cette réponse a aidé l'auteur du sujet

Il est grand temps que l’https devienne systématique sur internet. Si on laisse le choix à l’utilisateur ce sera de fait google qui choisira et ce sera de l’http.

Donc à mon sens, forcer la sécurité est ce qu’il y a de mieux. Après si ça pose des problèmes de perf pour le site je conçois qu’on puisse vouloir mettre de l’eau dans son vin.

La répétition est la base de l’enseignement. — ☮ ♡

+5 -0

Ce n’est pas une question de sécurité, enfin pas pour les utilisateurs du site en tout cas. Comme dit plus haut un utilisateur non connecté sur une partie du site sans données sensibles n’a pas besoin d’une connexion sécurisé. C’est juste que le chiffrement global des communications sur internet marche mieux si tout le monde chiffre tout le temps.

Note : j’ai taper « zeste de savoir » dans google et le premier lien est en https en fait, ce n’est pas le cas pour DuckDuckGo par contre.

Édité par simbilou

La répétition est la base de l’enseignement. — ☮ ♡

+1 -0
Auteur du sujet

Je pense comme simbilou que la navigation via HTTPS est l'avenir. D'ailleurs, si on croit ce que dit cet article, Firefox va peut-être (dans quelques années) restreindre l'utilisation de certaines fonctions aux sites en HTTPS !

Une alternative est peut-être de ne forcer l'HTTPS qu'aux membres et d'envoyer une en-tête HSTS aux navigateurs, ce qui fera que les utilisateurs navigueront de base en HTTPS mais (corrigez moi si je me trompe) permettra aux applications qui le veulent de se connecter en HTTP ?

Médicament flemmard aux pul(p)sions imprécises. “Don’t wait for the perfect moment. Take the moment and make it perfect.”

+1 -0

.... Au risque de me faire des ennemis, je préfère avoir le choix d'activer ou non le HTTPS…pour une raison toute simple, c'est que je doit me logger lorsque je me connecte a internet via ma résidence étudiante, ou via le wifi de mon école(ce qui arrive très régulièrement, vu que dans le cas du wifi, je dois me relogguer toute les 30 minutes, c'est une mesure anti-jeux-en-réseau-dans-les-cours....).

Et que pour me logger, les 2 utilisent un portail captif....Qui est détectée comme une attaque de l'homme du milieu (parce que ça en est bien une :p )

Lorsque le site est en HTTPS, la redirection vers le portail captif ne se fait pas (logique ^^ )

Si HSTS est utilisé, je vais devoir ouvrir un nouvel onglet vers un nouveau site en HTTP non chiffré..et c'est pas cool. J'ai mis ZDS en page d’accueil de chrome car il me permet en même temps de tomber sur le portail captif, ou de tomber sur le site si je suis connecté ^^

Peut être qu'il est possible d'activer une option dans l'espace membre "forcer le HTTPS" ou non, comme ce fut le cas sur youtube par le passé?

Édité par gusfl

+2 -0

Je suis toujours en HTTPS et j'aurais envie de dire oui au HTTPS, mais vu qu'il y a peut-être certains qui utilisent un proxy HTTP par exemple, j'aurais tendance à suivre gusfl.

L'option « forcer le HTTPS » semble être une bonne idée. Laisser le choix est une bonne idée, mais encore faut il que cette option soit visible. Si l'option existe pour que la plupart des membres l'ignorent, alors elle ne vaut pas le coup.

Finalement la question est compliqué… même si forcer le HTTPS serait bien.

Édité par Karnaj

Je fais un carnage si ce car nage car je nage, moi, Karnaj ! - Tutoriels LaTeX - Contribuez à un tutoriel Ruby

+0 -0
Auteur du sujet

Résultats du sondage

Option Nombre de votes
Pour 5
Pour mais seulement pour les membres connectés 10
Contre 0

Édité par Situphen

Médicament flemmard aux pul(p)sions imprécises. “Don’t wait for the perfect moment. Take the moment and make it perfect.”

+0 -0

Je suis pour. Après on peut faire une option "interdire le https" que tout le monde pourrait utiliser (avec le choix à enregistrer dans les cookies de l'utilisateur?)

Édité par albert733

+0 -0

Parfois avec des proxy pourris le https fonctionne mal ou pas. Ça rend le site moins accessible. Par exemple le Wi-Fi public de BMO (Bank of Montreal) ne marche pas sur les https.

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte