https ou pas?

funkygoby · 16 juil. 2016, 20:34

Salut, j'aimerais avoir votre avis et votre experience par rapport au tout-https.
Je ne bosse pas dans l'informatique mais j'ai quand même 2 sites très simples (avec un peu de php pour lire une bdd mysql) chez toile-libre. J'étais assez fier d'être arrivé à ce résultat par moi même et là j'apprend que ma mère ne peut pas consulter la dernière version de mes sites.
Elle utilise firefox (apparement à jour) au boulot et arrive à se connecter à d'autres sites sans problème.

Je soupçonne les dernières version firefox de banir les sites non-https. Est ce que j'ai bon?
Si oui, il va falloir que je me mette au https. Je commence par quoi? letsencrypt?

Bien à vous.

16 juil. 2016, 20:52

Non, firefox ne bannit pas les sites HTTP ... pour preuve, arrives-tu à lire depuis son poste : http://man.openbsd.org/
Mon avis le problème vient d'ailleurs ... quel est ton url, stp ?

Ensuite, il est préférable que tu bascules en HTTPS. Mais, préférable ne signifie pas obligatoire ... et, oui, Let'sEncrypt parce que Libre, "communautaire", gratuit - pour l'instant - et assez facile à gérer ...
Tu trouveras sur notre wiki comment le faire pour Apache ou Nginx ...

funkygoby · 16 juil. 2016, 21:07

http://gingerbreadboys.com c'est le site de mon projet. En bas de page, tu trouveras un lien vers mon site perso mais il n'y a pas de différence entre les deux sites (même base de code). Je sais que gingerbreadboys posait problème sur sa machine.

edit: J'ai essayé de rendre le site "responsive", adaptable en fonction de la taille de l'écran. Il marche sur mon téléphone et toutes les machines sur lesquelles j'ai pu poser la main.

hybridemoineau · 16 juil. 2016, 21:13

Aucun souci chez moi, avec ou sans extensions (dont https everywhere et requestpolicy) pour accéder à ton site, avec la version suivante de firefox-esr

Code : Tout sélectionner

45.1.1esr-1~bpo80+1 991
        500 http://mozilla.debian.net/ jessie-backports/firefox-esr amd64 Packages

funkygoby · 16 juil. 2016, 21:23

Tiens c'est marrant, j'ai 45.2.0esr-1~deb7u1 0 (sous wheezy).
Bref, aucun problème non plus avec cette version, ni avec firefox 47 android.

16 juil. 2016, 21:24

Pour moi, pareil, sachant que FF est mon browser de prédilection ;)

funkygoby · 16 juil. 2016, 21:31

Ça doit être les burgers.

edit: Merci des retours en tout cas.

16 juil. 2016, 22:32

oui, ... ou ... le virus ... entre la chaise et le clavier :p

16 juil. 2016, 23:04

Personnellement je ne mettrais pas de https sur ce genre de site.
A quoi sert les https ? A sécuriser les échanges entre le client et le serveur pour 2 principale raison. 1 que quelqu'un ne puisse lire en claire ce qui passe par le réseau et 2 pour éviter que quelqu'un d'autre se fasse passer pour toi.
Une de ces deux raison te parait elle essentielles pour ton site ?
Ensuite on peut se demander quel sont les inconvénient du https. 1 La mise en place pas forcément très simple, même si avec let's encrypte ça va dans le bon sens de la simplification et automatisation. 2 Le chiffrement des échanges n'est pas gratuit en terme d'énergie. Le serveur et le client travail plus, donc consomme très légèrement plus d'énergie pour discuter.
Une de ces 2 raison est elle importante a tes yeux ?

Bref après c'est a toi de faire ton choix. Pour un site vitrine sans enjeux mettre du https n'est absolument pas une obligation, beaucoup te le conseillerons, moi je reste plus réservé pour ton cas.

funkygoby · 18 juil. 2016, 22:10

Résolu!! La faute à ma mère. Elle se servait de l'onglet recherche au lieu de la barre d'adresse. Du coup, elle se retrouvait avec un resultat duckduckgo. Comme je n'ai rien referencé chez eux, ça afficher des suggestions.

@Mimoza: c'est exactement mon opinion.
Ça me gonfle cette manie de se jeter sur toutes les nouvelles technos.
Certes, en plus de tout ce que tu dis, le https apporte aussi l'authenticité du contenu. À mon avis si un visiteur reçoit mon site avec un contenu forgé par un MitM c'est qu'il doit avoir d'autres problèmes plus graves à regler.
Tu as peut être remarqué que j'ai fait en sorte d'avoir un site aussi simple que possible, du html, du css, des images basta! Rien ne tourne coté client, tout juste un peu de php coté serveur.
À mon niveau, le https n'est qu'une complication que je préfére esquiver.

Merci à vous.
Résolu.

19 juil. 2016, 00:02

funkygoby a écrit :Résolu!! La faute à ma mère. Elle se servait de l'onglet recherche au lieu de la barre d'adresse. Du coup, elle se retrouvait avec un resultat duckduckgo. Comme je n'ai rien referencé chez eux, ça afficher des suggestions.

Ahhh, le fameux virus entre la chaise et le clavier :p

funkygoby a écrit :@Mimoza: c'est exactement mon opinion.(...)
À mon niveau, le https n'est qu'une complication que je préfére esquiver.
(...)

Que je ne partage pas du tout ;) (cf. mon site perso : html5, css3, bootstrap ... et https, qui est loin s'en faut n'est pas une nouvelle techno ! )
Mais, si tu ne maîtrises pas et/ou que tu ne veux pas t'enquiquiner ... whynot ! ;)

Par contre, côté techno qu'il est intéressant à envisager de s'enquiquiner, c'est de gérer les entêtes HTTP ... pour "enquiquiner ceux qui sont pas gentils" ... de type :
- Access-control-allow-origin, Content-Security-Policy, X-Content-Type-Options, (X-)Frame-Options, X-XSS-Protection, etc ...
Là, ça vaut le coup à s'efforcer de gérer ... autant faut-il avoir la main dessus :p

Bref, quoiqu'il en soit, content pour toi que tu es compris le problème que tu avais à gérer !
++