Si vous administrez un site web, vous avez bien sûr remarqué depuis longtemps qu'il y a régulièrement des liens morts qui y apparaissent, les cibles des liens changeant de domaine, de chemin ou de nom de page. Il y a des outils libres pour vérifier cela et alerter.
Mais il y a aussi des erreurs 40x qui apparaissent lorsque la cible active https, ne renouvelle pas son certificat, paramètre mal son DNS. J'en ai déduit quelques règles simples dans l'écriture d'un lien :
- ne pas écrire le www, il ne sert à rien (http indique déjà que ce sont des pages web) et si le DNS est bien configuré, http://www.infolib.re doit par exemple être un alias de http://infolib.re et non l'inverse. Il faut tester le lien car dans de très rares cas, bizarrement, la redirection se fait quand on écrit l'URL dans le navigateur mais pas quand on clique sur le lien. Je n'ai pas trouvé pourquoi. Dans ce cas, le www est nécessaire mais n'hésitez pas à signaler le problème au webmaster.
- ne pas écrire https mais http car la redirection existe toujours et cela marche même lorsque le certificat a expiré.
- ne pas mettre / à la fin d'un domaine, ça ne sert à rien.
Qu'en pensez-vous ?
# Page index
Posté par InfoLibre . Évalué à -4.
# Cool URIs don't change
Posté par Jérôme FIX (site web personnel) . Évalué à 7.
Bonjour,
Un peu daté mais toujours intéressant à lire :
- Version originale - https://www.w3.org/Provider/Style/URI
- Version française - http://www.la-grange.net/w3c/Style/URI
Jérôme.
# http / https
Posté par raphj . Évalué à 10.
Je ne pense pas qu'il faut utiliser "http://" plutôt que "https://" par défaut.
Je vois le problème que tu cherches à résoudre, mais dans le cas "http://", le navigateur va être amené à faire une requête claire en http, qui peut être interceptée, espionnée et détournée, puis une seconde requête en https si tout se passe bien, donc c'est plus lent, moins efficace et moins sûr que tu https direct.
Si le site ne fonctionne temporairement pas en https, c'est une panne. C'est normal que ça ne fonctionne plus. Aussi, un https qui ne fonctionne pas ça peut être une attaque en cours. C'est conçu comme ça. Utiliser un lien en http volontairement, c'est désactiver les mesures de sécurité du site cible, ça ne me semble pas très responsable.
[^] # Re: http / https
Posté par InfoLibre . Évalué à -10. Dernière modification le 04 août 2019 à 09:51.
Faire la première requête en http:// ne pose pas de problème particulier de sécurité car tu n'es invité à transmettre des données confidentielles qu'après l'affichage de la première page, par exemple si on te demande de t'identifier. Et avant la transmission de tes données confidentielles, le DNS ou la configuration d'Apache t'aura redirigé vers la page en https://.
Au pire, tu perds quelques millisecondes, alors que si tu es en https:// dès le départ et que le certificat est expiré (parfois définitivement), la page ne s'affichera pas du tout.
[^] # Re: http / https
Posté par raphj . Évalué à 10.
Mais si, parce que lors de la requête http, un attaquant peut mettre en place une redirection vers une page qui ressemble au site site, et là les gens vont s'identifier sur le faux site.
Même sans parler de redirection, l'attaquant peut aussi savoir :
On a aussi le cas du comportement que linuxfr.org a eu pendant longtemps : ne pas rediriger vers la version https du site. C'était pénible, tu suis un lien http et tu restes en http, alors que tu voudrais que les visites se fassent en https. Heureusement ce n'est plus le cas.
[^] # Re: http / https
Posté par raphj . Évalué à 6. Dernière modification le 04 août 2019 à 10:10.
L'existence de cette faille a mené vers la création de l'entête https Strict-Transport-Security. Tout ça est très bien expliqué là : https://developer.mozilla.org/fr/docs/S%C3%A9curit%C3%A9/HTTP_Strict_Transport_Security
[^] # Re: http / https
Posté par InfoLibre . Évalué à -2. Dernière modification le 04 août 2019 à 10:36.
Oui, en effet, pour la sécurité, il vaut mieux utiliser un lien https dès le départ puisque dans les 2 cas, le navigateur bloquera la page si le certificat expire.
Par contre, on aura des liens morts pour tous les sites web où la redirection http vers https n'a pas été activée. Même si c'est une mauvaise configuration, peu importe, ils ne seront pas visibles. Et comme dit plus haut, c'était long et pénible sur LinuxFR. Alors, il faut privilégier ce qui marche le plus souvent ou la sécurité ?
[^] # Re: http / https
Posté par raphj . Évalué à 2.
Yep :-) C'est ce qu'il me semble aussi.
[^] # Re: http / https
Posté par pasBill pasGates . Évalué à 8.
La sécurité c'est évident.
Les sites distants tu ne les contrôles pas, il y a mille façons qu'ils ont de briser les liens, c'est une bataille perdue d'avance alors autant ne pas mettre tes utilisateurs en danger en plus.
[^] # Re: http / https
Posté par Psychofox (Mastodon) . Évalué à 5.
Qui te dis que dans 5 ans il n'y aura pas un consensus qui aboutira à l'abandon total du http et donc même aux redirections ?
De toute façon espérer que de liens soient pérennes, c'était valable quand la majorité des sites étaient statiques. Maintenant on se rend compte que son CMS/framework/whatever n'est plus maintenu, ou plus au normes du jour esth;tiquement, on passe son site/base de donnée dans une moulinette pour le convertir et on passe à un autre comme on change de chemise. Le contenu existe des fois encore mais les liens sont différents. De ce côté la aucun effort n'est fait pour maintenir la pérennité des liens.
[^] # Re: http / https
Posté par Bisaloo . Évalué à 2.
Oui, mais pour compléter, le problème subsiste lors de la première visite du site si c'est juste HSTS sans l'avoir ajouté à la liste des navigateurs (HSTS preload).
[^] # Re: http / https
Posté par raphj . Évalué à 2. Dernière modification le 04 août 2019 à 13:26.
Ce qui est d'ailleurs probable quand on suit des liens (tomber sur un site encore jamais visité).
[^] # Re: http / https
Posté par raphj . Évalué à 8.
Autre chose : en cas de panne https, si de toute façon la redirection http → https est faite, le lien sera quand même cassé même si tu pointes vers la version http, puisqu'elle va rediriger vers la version https cassée.
[^] # Re: http / https
Posté par InfoLibre . Évalué à -5. Dernière modification le 04 août 2019 à 09:52.
Non, tu resteras en http:// si c'est bien configuré.
[^] # Re: http / https
Posté par raphj . Évalué à 8. Dernière modification le 04 août 2019 à 10:00.
Mais c'est toi qui dit que c'est le bon comportement "si c'est bien configuré". Beaucoup de sites redirigent les requêtes http vers https. Au hasard, google.fr, linuxfr.org, wikipedia.org… et la grosse majorité des sites maintenant. Tu veux dire que tous ces sites sont mal configurés ?
En cas de panne https, la redirection http → https mise en place (que ça soit bien configuré ou non, de toute façon c'est comme ça que les choses sont mises en place dans la nature), ne va pas magiquement cesser de fonctionner aussi dans la plupart des cas.
[^] # Re: http / https
Posté par InfoLibre . Évalué à -3.
Oui, pardon, tu resteras en http:// si c'est mal configuré. Mais dans ce cas, la page ne s'affichera pas si le lien utilise https.
[^] # Re: http / https
Posté par raphj . Évalué à 3. Dernière modification le 04 août 2019 à 11:20.
Je me disais aussi :-)
La situation me paraît improbable, la plupart des sites ne fonctionnent pas comme ça. Je pense qu'une meilleure solution serait une proposition du navigateur de consulter une page archivée du site.
D'ailleurs, l'extension View Page Archive & Cache est intéressante pour ça, elle ajoute une icône pour accéder aux archives d'une page cassée : https://addons.mozilla.org/fr/firefox/addon/view-page-archive/
[^] # Re: http / https
Posté par InfoLibre . Évalué à -1.
Merci pour le lien, je viens d'ajouter ce module à Firefox pour le tester. Je ne connaissais pas non plus archive.is, je viens d'archiver mon site perso, merci.
[^] # Re: http / https
Posté par InfoLibre . Évalué à -6.
Ce qui serait bien, ce serait un mécanisme automatique et normalisé qui rebascule en http quand le certificat est expiré et qui avertit le gestionnaire du site.
[^] # Re: http / https
Posté par raphj . Évalué à 10.
C'est une idée séduisante, mais je pense surtout que ça devrait continuer se planter horriblement comme ça le fait aujourd'hui pour que la personne en charge du site soit pressée de régler le problème de sécurité de façon urgente.
Les visiteurs ne devrait pas être exposées "automatiquement" à une situation non sûre.
Le travail effectué pour mettre en place ce mécanisme automatique serait mieux utilisé à mettre en place un renouvellement automatique des certificats.
[^] # Re: http / https
Posté par InfoLibre . Évalué à -7. Dernière modification le 04 août 2019 à 11:40.
Sur le long terme, on ne risque pas de transformer le web en un vaste cimetière de pages inaccessibles ? Tant que les certificats seront payants, renouvelés manuellement, on va avoir les mêmes conséquences qu'avec les noms de domaine non renouvelés.
[^] # Re: http / https
Posté par wismerhill . Évalué à 8.
https://letsencrypt.org/
[^] # Re: http / https
Posté par InfoLibre . Évalué à -5.
Oui mais tout le monde ne veut pas l'utiliser, il y a trop d'argent en jeu. Et il faut continuer à pouvoir implanter des certificats racine pourris.
https://www.nouvelobs.com/rue89/rue89-economie/20110318.RUE1353/tunisie-microsoft-complice-de-la-censure-numerique-par-ben-ali.html
[^] # Re: http / https
Posté par raphj . Évalué à 5. Dernière modification le 04 août 2019 à 15:16.
Ton article date de 2011. Je ne comprends pas le rapport avec Let's Encrypt. Comment ça, il y a trop d'argent en jeu ? N'importe qui peut obtenir un certificat Let's Encrypt gratuitement et le renouvellement s'automatise facilement. Avant Let's Encrypt, il y avait la possibilité d'obtenir un certificat gratuitement aussi. Pour les cas où Let's Encrypt n'est pas suffisant, en général on a les moyens de payer un certificat.
Bien sûr, tu peux toujours faire du person in the middle en HTTPS si tu as le pouvoir d'insérer un certificat chez le destinataire attaqué, mais:
En fait, c'est encore pire en HTTP : tu peux intercepter de façon complètement invisible. Alors qu'en HTTPS, il est encore en général possible de vérifier la provenance des certificats et donc détecter une attaque, sauf si vraiment ton navigateur te ment…
Honnêtement, aujourd'hui, je ne vois plus trop d'excuse à ne pas chiffrer, sauf cas vraiment spécifique… quel serait l'intérêt de déployer un site sans https aujourd'hui ?
[^] # Re: http / https
Posté par InfoLibre . Évalué à -5. Dernière modification le 04 août 2019 à 16:53.
Il y a plein d'offres d'hébergements où tu n'as pas le choix du certificat sur le serveur. Et tu dois penser à le renouveler manuellement (repayer).
[^] # Re: http / https
Posté par Psychofox (Mastodon) . Évalué à 7.
Vouloir maintenir un site (qui utilise des ressources) sans rien payer, c'est de tout façon une utopie.
[^] # Re: http / https
Posté par voxdemonix . Évalué à -1.
Pourquoi ce moissage ?
J'ai déjà rencontré ce cas de figure d'un hébergeur pro où https coûtait un truc comme 20€/mois alors qu'on peut avoir du Let's Encrypt sur nos propres serveurs via un simple script bash et sans débourser 1€.
[^] # Re: http / https
Posté par Zenitram (site web personnel) . Évalué à 6. Dernière modification le 06 août 2019 à 15:44.
Un moinssage parce que la remarque est ridicule : tu as toujours le choix du certificat sur le serveur. Si un hébergeur te fait payer "trop" un certificat HTTPS, ben tu as le choix de te dire que cet hébergeur monétise la sécurité de base (et gratuite en 2019 ailleurs, et même par défaut si bien fait) et que tu devrais donc ne pas du tout avoir confiance, donc partir, ce n'est pas comme si il n'y avait pas d'alternatives.
Après, quand on voit ton FUD sur HTTPS (et sérieux, sans parler du rien à voir avec des "applis" car on parle du navigateur, ce n'est pas parce que c'est libre que ça ne peut pas être merdique : si un appli ne supporte pas HTTPS mais que HTTP en 2019, c'est une appli de merde et tu devrais te dire que tu ne peux pas avoir confiance dans cette appli, libre ou pas, et te plaindre de cette appli plutôt que de chouiner sur une évolution qui protègent la vie privée et en fit juste de la sécu de base, bordel on a du WiFi en clair partout de nos jours, plus rien ne devrait être en non chiffré de nos jours).
Bref, on voit plutôt des excuses pour attaquer HTTPS on ne sait pas trop pourquoi, mais ça a l'air de vous embêter que des gens s’intéressent à leur vie privée ou juste à leur sécurité…
Arrêtez avec vos FUD anti vie privée et anti-sécurité, ça gonfle.
[^] # Re: http / https
Posté par InfoLibre . Évalué à -10.
Ben si ça te gonfle, va voir ailleurs que sur LinuxFR et ça nous fera des vacances. Là, on a l'impression d'être sur les réseaux sociaux où tout le monde déverse sa haine. Je ne comprends même pas comment des gens comme toi ne sont pas interdits de poster, tout le monde te dit que tu es insupportable, tu continues à faire le sourd et à insulter tout le monde sans jamais te remettre en question. Va voir un psychiatre, fait quelque chose.
[^] # Re: http / https
Posté par Faya . Évalué à 10.
Il est insupportable (vrai) mais il a raison… régulièrement et dans le cas présent.
Je pense que sur LinuxFR (puisque tu parles au nom de "tout le monde", je continue) on préfère des infos solides sur un ton détestable à des fausses vérités (dangereuses en plus puisqu'ici tes conseils risques d'exposer des infos privées).
Quelqu'un qui veut du Web non chiffré et de la censure… Christophe Castaner je t'ai reconnu !
[^] # Re: http / https
Posté par raphj . Évalué à 10.
Je trouve les deux inacceptables. Et effectivement, pour moi, on est dans le cas de quelqu'un qui énonce des choses fausses contre quelqu'un qui dit des choses solides avec un ton désagréable (je ne qualifierais pas le ton de Zenitram de détestable - d'ailleurs il n'insulte personne).
Zenitram a effectivement raison sur le fait que le journal n'est pas assez clair sur l'intention de demander conseil, que c'est dangereux et qu'une telle démarche pourrait avoir plus sa place sur le forum. Pour moi, rapido devrait demander à l'équipe de modération d'ajouter une remarque en évidence dans le journal comme quoi les mesures proposées sont controversées.
Mais ce n'est pas en lui rentrant dedans qu'on va le faire changer d'avis. Notre ami attend d'être convaincu.
Perso, si je me trompe et qu'on me rentre dedans en réponse, je vais devoir faire un gros effort pour ne pas juste me braquer, camper sur ma position, en mode défensif, au lieu de reconnaître que j'ai eu tort ou même écouter ce qu'on a à me dire. Beaucoup de gens ne vont pas faire cet effort, et ça produit une situation complètement improductive.
Zenitram, j'entends que tu n'attaques pas la personne mais le contenu, mais j'ai l'impression que ta manière de dire les choses braque régulièrement la personne en face et que ce n'est pas nécessaire.
Le problème avec ça, c'est que cette attitude risque de décourager les gens à participer sur LinuxFR. Je pense que rapido partait d'une volonté de partager en écrivant ce journal, ce serait dommage de lui faire regretter ça.
On gagnerait à mon avis beaucoup à énoncer calmement les avis ici. Je suis sûr qu'on peut se montrer bienveillant et quand même pointer les problèmes du doigt fermement.
[^] # Re: http / https
Posté par Zenitram (site web personnel) . Évalué à 2.
Par exemple, une personne dénommée raphj a été gentil, et a indiqué que c'était une bêtise d'une manière polie avant que je lui rentre dedans. Résultat? L'auteur du journal l'a envoyé chier en augmentant sa démonstration qu'il n'y connaît rien et qui ne cherche pas à comprendre le commentaire auquel il répond. Ce ne fût qu'un exemple parmi d'autres dans les réponses de l'auteur qui montre qu'être gentil avec lui ne change rien, et c'est ce qui ma mis en mode "tu te fous de notre gueule", pas son journal lui-même.
Je demande qu'à être convaincu qu'être plus gentil marche mieux, mais la tu as toi-même démontré que ça ne marche pas ;-). Alors, oui, ensuite d'autres genre moi sont plus "cassants". Promis, si je vois que ta méthode gentille marche, je ne serrai pas cassant; la plupart du temps j'attends de voir que la personne n'a absolument rien à foutre de chercher à comprendre quand on lui explique gentillement pour être plus cassant. Les gens qui me reprochent mon ton désagréable oublient que mes réponses sont à des insultes (oui, je prend le fait de ne pas chercher à comprendre son erreur quand expliquée gentillement comme tu l'as fait comme une insulte, il y en a bien qui disent que mes réponses sont détestable alors tout semblent bien subjectif).
Bref, le problème est que la méthode gentille ne marche pas, à un moment il faut dire les choses clairement (et clairement est pas toujours compatible avec gentillesse, pour être clair il faut nommer des bêtises comme des bêtises, et encore je voulais écrire au début "conneries"). Bon, gentil ou pas gentil l'auteur du journal a décidé de ne pas chercher à comprendre, donc tout a été essayé, il faut juste faire avec en espérant que les lecteurs liront les commentaires avant de suivre ces "recommandations" dangereuses (et encore merci HSTS Preloading conçu pour contrer ceux qui vont suivre ces "recommandations").
[^] # Re: http / https
Posté par raphj . Évalué à 3. Dernière modification le 07 août 2019 à 10:48.
C'est un connard aussi ce raphj !
Plus sérieusement, je n'ai pas interprété sa réponse comme une manière de m'envoyer chier, plus comme une contre-argumentation du fait qu'il n'avait pas encore saisi l'étendu du problème, et/ou comme le fait qu'il est peut-être empêtré dans un biais d'engagement, qu'il faut apprendre à combattre, ce qui n'est pas facile.
Par contre je te le concède:
Je comprends (mieux) ta démarche :-)
[^] # Re: http / https
Posté par CHP . Évalué à 5.
Etre gentil ne marche pas, alors je me montre aggressif, même si ca marchera encore moins bien ?
On peut être clair sans être aggressif. Dire "tu dis des bétises parce que …", c'est pas aggressif.
[^] # Re: http / https
Posté par Faya . Évalué à 7.
Le ton. Pas la réponse en elle même.
Entre la méthode "gentille" et la méthode "cassant", y'a juste le ton neutre… Parce que oui, on te l'a très souvent fait remarquer, ton ton incite plutôt à se braquer qu'autre chose. Et si tu ne crois pas les commentaires DLFPiens, ça a déjà été démontré ailleurs :
Mais je pense que tu le sais (il me semble avoir déjà dit exactement ça sur un autre journal il y a longtemps) et que tu t'en fous parce que tu ne cherches pas à convaincre. Tu veux juste exposer ta vision aux et je dirais même que tu t'en fous du commentaire auquel tu réponds tant qu'il te tend une perche pour faire le show (et le chaud). Après, comme tu sais généralement de quoi tu parles, on fait abstraction du ton et on se concentre sur le positif (infos solides). Tu le sais, et tu en joues. C'est de la psychologie PMU mais c'est ce que j'ai tiré de tes nombreuses interventions.
[^] # Re: http / https
Posté par Kerro . Évalué à 3.
Perso, je ne trouve pas son ton cassant alors que je suis en mesure de percevoir que c'est mal perçu par certains (ou par beaucoup ?).
Du coup je suppose que ma propre manière de m'exprimer est du même acabit (je pense avoir fait des progrès, j'ai eu une mère ultra cassante à un niveau bien au delà de la limite légale).
[^] # Re: http / https
Posté par Thomas Debesse (site web personnel) . Évalué à 4.
Je ne me soucie pas de savoir si le ton de Zenitram est détestant, mais par contre je trouve ce ton très détestable : je déteste ce ton :-)
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: http / https
Posté par Big Pete . Évalué à 3.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.
[^] # Re: http / https
Posté par Zenitram (site web personnel) . Évalué à 1. Dernière modification le 06 août 2019 à 19:16.
Si il faut jouer sur le quantitatif…
Note du journal : -21 (ne parlons pas de la note des commentaires…)
Note de mon commentaire sur ton journal : +9
Mais se concentrer sur quelques commentaires écrits plutôt que sur la majorité silencieuse qui note… Pourquoi ne pas conclure que les visiteurs du site n'ont justement pas apprécié le journal?
Tu ne voudrais pas essayer par exemple t'excuser pour avoir raconté autant de bêtise sans prévenir que tu n'y connaissais rien plutôt que de parler de haine quand on "casse" tes affirmations? Ou comment essayer de ne pas parler du sujet en jouant la carte victimisation. Tristement banal.
Perso, j'aurai plutôt demandé de supprimer un journal qui incite les gens à réduire la sécurité, mais bon chacun ses priorités sans doute (la mienne est la sécurité des gens, et toi? La mienne parle de supprimer du contenu dangereux sans limiter la personne, et toi?).
Ca devient une attaque sur les gens plutôt que le contenu, il est temps de passer à autre chose, on ne changera pas les bêtises facilement et on devra toujours gérer les résultats des mauvais conseils de toutes façons. Et l’historique m'a appris que les gens notent bien mes premières réponses cinglantes mais moins mes explications ensuite sur les réactions "outrées" victimisantes, encore une raison de s'arrêter.
[^] # Re: http / https
Posté par InfoLibre . Évalué à -8. Dernière modification le 06 août 2019 à 19:22.
C'est le syndrome Linus Torvalds.
[^] # Re: http / https
Posté par CHP . Évalué à 5.
Ah, Zenitram pense donc que les notes des commentaires veulent dire quelque chose sur la qualité du commentaire ? Je me rappelle pourtant plusieurs fois où il en est venu à "j'arrete, il ne reste ici plus que des aigris qui moinsent automatiquement"
[^] # Re: http / https
Posté par raphj . Évalué à 1. Dernière modification le 07 août 2019 à 10:23.
Je pense que les notes sont difficilement interprétables, parce que seul un sous ensemble de gens note, probablement parmi lesquels beaucoup de gens qui ont des avis tranchés, et en plus de différentes manières.
Perso je ne note jamais. Combien de gens font comme moi ici ?
En regardant les notes, on a donc l'avis imprécis d'un sous-ensemble de gens et je n'ai aucune idée de la taille de ce sous-ensemble.
Il y a aussi certainement beaucoup de gens qui ne commentent pas. J'ai mis 10 ans avant de me mettre à commenter ici. Difficile donc de connaitre ou deviner l'avis général des lecteurs de LinuxFR.
[^] # Re: http / https
Posté par CHP . Évalué à 3.
Je suis assez d'accord pour dire que les notes ne veulent rien dire. Je me suis simplement amusé de voir Zenitram employer cet argument
[^] # Re: http / https
Posté par David Marec . Évalué à 5.
Quel FUD ? Rappelez nous donc la définition d'un FUD.
Ouais, sérieux, où il est le FUD ?
'vois pas le rapport avec la choucroute, de l'âge du capitaine ou de l'homme de paille.
Non.
HTTPS protège notre vie privée, sans déconner ? Il protège vos identifiants qui transite via le réseau contre les attaques Man-in-the-middle et vous assure que le site que vous consultez a obtenu un certificat pour son nom de domaine: point barre.
FaceBook, GMail et autre «réseaux sociaux» ne sont accessibles qu'en HTTPS. Hummm, tu la sens la vie privée ?
Nombre de clients des sites Web en HTTPS leur ont confiés leurs données privées, qui les ont revendu à des tiers conformément au CGU que personne n'a lu.
C'est ça, des gens qui confient à peu près tout à Google, Facebook ou kikoolol depuis leur Smartphone qui les géolocalise en permanence.
Mais via des connexions chiffrées, donc tout va bien.
Faire croire que naviguer sur des sites qui se contentent de rendre du contenu public, voire statique, en HTTP, met en danger votre privée c'est du FUD. Faire croire que circuler exclusivement HTTPS vous protège est pire: c'est un mensonge. Pour ça, il faut faire beaucoup plus attention.
Si on veut s'assurer que personne ne sache sur quel site on navigue et ce que l'on consulte, il faut au minimum passer dans un VPN, sans parler des fuite de requêtes DNS. Et avoir confiance dans le gestionnaire du bidule, comme dans les sites que l'on consulte.
[^] # Re: http / https
Posté par Renault (site web personnel) . Évalué à 9. Dernière modification le 07 août 2019 à 02:15.
Relis le commentaire de voxdemonix qu'il a pointé. C'est lui qui a dit :
Sous entendu que le HTTPS est mal car des applications libres peuvent en pâtir. Sauf que le fait qu'un logiciel libre ne respecte pas un protocole plus moderne ne justifie pas une compatibilité ascendante éternelle.
La vie privée n'est pas qu'une affaire entre le site que tu visites et toi.
Le HTTPS te permet de masquer à des tiers certaines informations comme la page que tu visites sur un site web donné. C'est-à-dire qu'avec HTTP l'État ou mon fournisseur d'accès peuvent non seulement savoir que je consulte Wikipédia, mais ils peuvent savoir quels articles je consulte. Ce qui renferme pas mal de données personnelles via ces méta données : orientation politique, religieuse ou sexuelle par exemple. Et tant d'autres.
Avec HTTPS ils sauront que je suis allé sur Wikipédia et c'est tout. Cela ne les aide pas énormément. Et c'est pareil pour tout site que tu consultes où la variété du contenu est large.
Bref, oui HTTPS n'aide pas l'utilisateur face à Facebook ou Google quand on visite leurs sites en terme de vie privée, mais HTTPS apporte une aide pour lutter contre la collecte des données depuis l'extérieur. Ce n'est pas suffisant mais ça a l'avantage d'être très simple d'utilisation et répandu.
Donc quitte à filer des données sensible à Google, autant les filer à tout le monde tant qu'à faire ? Il faut vraiment expliquer en quoi abandonner des solutions de sécurité ou de confidentialité sous prétexte que la sécurité de ces données envoyées n'est pas parfaite est un raisonnement absurde ? Surtout ici.
Il vaut mieux ça que rien du tout.
[^] # Re: http / https
Posté par voxdemonix . Évalué à -3. Dernière modification le 07 août 2019 à 14:49.
L o o o o L
Non j'ai mentionné que bloquer les connexions HTTP sans S allaient provoquer un break.
Mais comme d'hab, certains sont incapable de faire autre chose que de polariser toute discutions histoire de pondre des threads où ils s'imaginent avoir une plus grosse que les autres.
Regarde, je haï tellement HTTPS que je n'explique surtout pas aux gens comment le mettre en place lorsqu'un projet ne l'a pas intégré… 🙄
PS : au final TLS est très proche de SSH. Quand quelqu'un parle de SSH vous ne vous bloquez pas sur "il est pour ou contre". La même logique devrait être appliquée avec TLS.
[^] # Re: http / https
Posté par Renault (site web personnel) . Évalué à 5.
Il manque un mot dans ma phrase pour la rendre plus cohérente avec ce que j'exprime : tu sous entends que généraliser le passage à HTTPS (côté navigateur / client) c'est mal. Position qui est je pense problématique, la compatibilité ascendante doit être recherchée au maximum mais ça a ses limites.
On ne doit pas avoir peur de rendre des applications non fonctionnelles s'il avère qu'ils usent et abusent d'un protocole qui n'est plus en phase avec les recommandations de sécurité minimales de notre temps.
[^] # Re: http / https
Posté par voxdemonix . Évalué à -2.
Non, je me méfie de la tentative de restreindre à une technologie en oubliant qu'il existe des alternatives (routage en onion, SSH, I2P, VPN, etc).
Il ne serait pas logique que demain mon Firefox me bloque l'accès aux stats de mon HaProxy sous prétexte que j'y accède en HTTP, alors que la communication est protégée par un VPN qui est plus sécurisé qu'un TLS trusté. *1
C'est comme si tu appréciais utiliser Thelia et Prestashop (des e-shop), et que demain je te menaçais de bloquer tout se qui n'est pas Prestashop.
1 Si un pays MITM un nom de domaine d'un VPN, les clients du VPN ne vont plus accepter de se connecter. Si un état MITM un domaine d'un TLS trusté, les navigateurs ne verront rien c'est le serveur qui va devoir checker les adresses IP pour chercher l'anomalie.
Boaf le sujet est plus complexe.
- Quid de la question monétaire (exemple le monde de la vidéos surveillance grand publique est bourré à craquer de ce genre de prob) ? Par exemple le blocage d'ActiveX a cassé les interfaces d'un nombre incroyable de Foscam (et donc, je suppose, le renouvellement du matos pour les non-hacker)
- Quid du retro ?
- Quid de l'IOT ?
[^] # Re: http / https
Posté par aiolos . Évalué à 6.
Ben globalement, si quelqu'un s'aventure à conseiller ici d'utiliser telnet au lieu d'ssh parce que ça va risque de péter des applis non compatible, à mon avis, il va se prendre une volée de bois vert1…
1 À commencer par une de ma part
[^] # Re: http / https
Posté par voxdemonix . Évalué à -2. Dernière modification le 07 août 2019 à 16:35.
Voila se qui se passe quand le débat est polarisé à coups de "pour" et de "contre".
On te sort des exemples tiré par les cheveux.
Tu compares deux défragmenteurs de disque, on te rétorque "qu'est-ce que t'as contre la défragmentation"…
[^] # Re: http / https
Posté par voxdemonix . Évalué à -3.
Et tu crois que je pense différemment ?
Mais mon client m'avait répondu que c'est moi qui était qu'un noob qui devait apprendre à se débrouiller avec se qu'on lui donne et qu'il ne comptait pas changer d'hébergeur. ("si non j'ai trouvé un site où je peux engager des indiens pour peanuts")
😂 😂 😂
C'est une belle contradiction aux arguments que tu me sors quand on se dispute autour de Tor et des Cryptomonnaies. 😄
"Site internet", ça sous entends qui ne fait qu'afficher du contenu, c'est un peu "has been" AHMA.
Example : ZoneMinder est une application dont la WEBUI est accessible via navigateur.
[^] # Re: http / https
Posté par Bisaloo . Évalué à 0.
Sur le long terme, la plupart des sites vont être plus ou moins forcés de passer en HTTPS only de toute façon puisque Google et Mozilla notamment prévoient de bloquer le HTTP sans chiffrement.
[^] # Re: http / https
Posté par InfoLibre . Évalué à -1.
Ça va être violent !
[^] # Re: http / https
Posté par voxdemonix . Évalué à -4.
Ce jour là ils auront pété un nombre incroyable d'applications libre (sauf pour ceux qui manient le proxy) et augmenté la pollution (https sur un VPN/SSH avec une clés de 4000bit, c'est du pétrole gaspillé), voir même diminué la sécurité (le sur-chiffrage peu avoir des effets inverses).
Et n'oublions pas le réseau Tor où https est décrié.
[^] # Re: http / https
Posté par Bisaloo . Évalué à 7.
Tu parles de quel type d'applications ? Si elles vivent en dehors du navigateur, je ne vois pas a priori ce qui les empêcherait de continuer à utiliser HTTP.
Les longues clés RSA posent de toute façon des problèmes de performance et on s'oriente donc sur des problèmes de courbes elliptiques, qui utilisent des clés bien plus courtes pour la même sécurité.
Là, je ne suis pas trop sûr de ce que tu veux dire. Dans le cas de sites "standards" visités via le réseau Tor, le HTTPS est tout à fait recommandé, puisqu'il empêche l'opérateur du noeud de sortie d'accéder au contenu en clair de la page que tu visites. Pour les services onions, c'est un peu plus discuté effectivement. Notamment parce que l'échange est déjà chiffré pour les services onions, pas besoin de HTTPS pour ça. Mais je ne vois pas d'inconvénient particulier à le faire si tu parviens à avoir un certificat pour ça.
[^] # Re: http / https
Posté par voxdemonix . Évalué à -3.
Par exemple les WEBUI de certaines caméras de surveillances (toutes celle à moins de 50 balles qui sont déjà à moitié petée), les WEBUI de certains logiciels serveurs (Shinobi, les stats de HaProxy), etc.
C'était juste un exemple de cas de figure ou TLS n'est pas du tout requis.
HTTPS dans un VPN n'apporte que "l'identité" de l'hôte (si certifs signé et non falsifié). Le chiffrement de la ligne étant déjà géré par le VPN.
Ma réflexion concernait bien entendu les .onion. Visiter des sites "normaux" sans https depuis le réseau TOR c'est du suicide.
D'après une discutions avec le dev de RetroShare, certains algos de chiffrements ne doivent pas être superposés au risque d'apporter des fragilités (de souvenir, il devient plus facile d'identifier les algos et de distinguer les fakes datas des vrais).
[^] # Re: http / https
Posté par Zenitram (site web personnel) . Évalué à 5. Dernière modification le 07 août 2019 à 14:58.
donc avec des données sensibles qui transitent en clair.
Vivement que Google et Mozilla virent HTTP que les clients demandent à ces développeurs d'app de vite fait mettre HTTPS sur la prochaine MAJ… Et/ou que les clients blacklistent des marques si MAJ pas possible, il y a du tri à faire et un minimum à gérer.
note : genre pour HaProxy, bon on peut un peu bidouiller vu que certains on eu bizarrement un besoin de se protéger. Mais c'est vraiment triste que ce genre d'outils attende qu'on lui botte le cul pour que ce soit natif.
Note 2 : à chaque évolution de la sécurité il y a eu des récalcitrants ayant la flemme de gérer la sécurité, même en HTTPS certains avaient la flemme de ce passer de SHA-1, et alors pourquoi 0.1% emmerdeur devrait bloquer une meilleure sécurité? On a viré SHA-1 cassé et le monde se porte mieux, même en ayant "cassé" quelques sites. Tu blâmes le mauvais côté, et "milite" pour une sécurité pourrie de cette manière, la sécurité ne te dit pas merci. OUI, ça casse quelques trucs, et NON il ne faut pas attendre 100% de pas cassé pour arrêter une sécurité moindre, avec une telle façon de penser on n'avance jamais. Heureusement que d'autres ont plus conscience de la sécurité et avancent malgré cette résistance sous excuse x ou y.
Le chiffrement par le VPN protège d'un regard indiscret du fournisseur du VPN, tu en es sûr? Hum…
[^] # Re: http / https
Posté par voxdemonix . Évalué à -5. Dernière modification le 07 août 2019 à 15:19.
HTTPS autosigné on le fait sauter en 30 secondes grâce a Youtube + Kali Linux.
Donc admettons que doit faire Foscam pour sécuriser ses caméras ?
HTTPS signé sur de l'IOT peut être ? 🤭 (qui par design n'est pas censé être accessible sur le net à tout le monde mode OpenBar)
Osef si tu gère tes webservices tu gère aussi le VPN (qui est très utile pour ne plus dépendre d'un TLS qui dépends lui-même d'un nom de domaine qui peut être MITM par un gouvernement).
Tu peux aussi faire pareil avec des tunnels SSH.
C'est natif si tu passes par un frontend. Mais c'est du boulot inutile en plus (rajouter un nom de domaine, le certifier, le maintenir). Alors que bêtement connecter au VPN et ne bind que sur une IP interne au VPN est suffisant
[^] # Re: http / https
Posté par InfoLibre . Évalué à -4.
Tu as lu ça où ? Ils vont déréférencer les sites web en http et afficher des alertes, mais sûrement pas les bloquer.
[^] # Re: http / https
Posté par raphj . Évalué à 4.
Je sais que certaines nouvelles fonctionnalités ne sont disponibles qu'en HTTPS, par contre je n'ai pas vu d'annonce sur le blocage total des sites en HTTP. Dans certaines situations, il paraît compliqué d'utiliser HTTPS, par exemple pour l'interface de configuration des box internet. Il me semble de toute façon qu'il y a encore beaucoup trop de sites en HTTP pour que ça se fasse sans douleur. Il y a encore des étapes à franchir.
Peut-être un passage à HTTPS par défaut dans le style de HTTPS Everywhere sur les sites non-locaux, puis un repli en HTTP si ça échoue serait une étape à franchir (après une période avec un message d'avertissement qui s'afficherait sur les sites HTTP sur une durée assez longue ?). Je ne sais pas s'il y a du travail dans ce sens.
[^] # Re: http / https
Posté par pasBill pasGates . Évalué à 8.
Mais qu'est ce qu'on s'en fiche que plein de sites non maintenus disparaissent ? Tu trouves qu'il n'y a pas assez de contenu sur le web ?
Tu préfères mettre en grand danger tous les utilisateurs du web pour quelques sites mal maintenus. ? C'est une folie !
[^] # Re: http / https
Posté par flan (site web personnel) . Évalué à 9.
Non. On peut très bien préférer la sécurité et ne jamais vouloir basculer en http.
[^] # Re: http / https
Posté par InfoLibre . Évalué à -4.
Ou l'inverse.
[^] # Re: http / https
Posté par Psychofox (Mastodon) . Évalué à 5.
Ben non puisque le but c'est justement de t'avertir que tu risques d'accéder à un site qui n'est pas qui il prétend ou que tu as potentiellement été dirigé par un DNS menteur/malicieux.
# www
Posté par raphj . Évalué à 10. Dernière modification le 04 août 2019 à 09:39.
C'est ton avis, et sur ce sujet tu trouveras de tout dans la nature. Je pense qu'on ne peut pas tirer de règle générale sur le sujet, alors je serais d'avis de respecter le choix du site cible et d'utiliser l'adresse que le site utilise. Si le site change et que les choses pour maintenir les liens sont bien faites, ce sont les anciennes adresses qui seront traitées, pas celles que tu auras devinées.
Si tu n'utilises pas l'adresse
www.
alors que c'est ça qui est utilisé, tu vas forcer tes visiteurs à se payer une redirection. C'est lent et inefficace. Pourquoi les faire attendre ?# pas d'alias !
Posté par eric gerbier (site web personnel) . Évalué à 6.
Sur les sites que je gère, il n'y a jamais d'alias entre domaine et www.domaine. Ce n'est pas parce que les navigateurs ont pris la mauvaise habitude de ne pas montrer toute l'url, que ça doit pointer vers la même chose !
[^] # Re: pas d'alias !
Posté par InfoLibre . Évalué à -3.
Tu ne crées pas de sous-domaine www.domaine.tld ? Juste domaine.tld ? Personnellement, je trouve cela logique, pour moi, le www ne sert à rien. Mais je paramètre quand même www.domaine.tld comme étant un alias (pas une redirection) de domaine.tld. C'est mal ?
[^] # Re: pas d'alias !
Posté par cacatoès . Évalué à 6.
De mon point de vue loin d'être omniscient sur ce sujet, les gens sont de moins en moins incités à inscrire des "www" eux-mêmes, et donc l'erreur dont tu cherches à te prémunir survient de moins en moins souvent.
En faisant cela, tu perds un usage potentiel du "www", qui n'est pas bien malheureux car beaucoup ont pris l'habitude de faire correspondre le www avec le domaine parent.
Le www est un artefact du temps où l'on pensait que l'internet ne se résumait pas au web ;)
[^] # Re: pas d'alias !
Posté par Mikis . Évalué à 2.
Depuis (entre autre) que j'ai vu une personne à laquelle j'avais dicté une adresse sans "www" commencer à écrire "www", je ne pense plus à ce que les gens peuvent écrire, incités ou non à le faire.
Perso, je redirige www.example.com sur example.com lorsque le site a un minimum d'importance.
[^] # Re: pas d'alias !
Posté par raphj . Évalué à 8. Dernière modification le 04 août 2019 à 13:40.
Perso, je mettrais une redirection en place plutôt qu'un alias (de www.example.org vers example.org ou l'inverse). Sinon, c'est le bazar : deux URL sont valides pour un même contenu. Ça me semble plus propre d'avoir une URL unique. Ça pose aussi moins de problème de cache de ressources (css, javascript) et de cookies (dont le comportement peut certainement être tout à fait étrange entre un domaine et un sous-domaine).
Et en fait, je garderais l'URL principal en www.example.org, sinon tous les cookies de example.org seront envoyés sur les sous-domaines qu'on pourrait vouloir utiliser, or, parfois, on veut tout bien séparer. Parfois, c'est justement un comportement souhaité donc ça a du sens d'utiliser example.org en tant que site web principal dans ce cas. Il me semble que c'est surtout une question de goût et de besoins techniques spécifiques à voir selon les cas. Si on n'a qu'un site et pas (d'autres) sous-domaines, là j'imagine que la question est purement esthétique.
Sur les questions esthétiques, j'ai un argument en faveur et un argument en défaveur de
www.
:Dans tous les cas, je pense que example.org et www.example.org devraient fonctionner et pointer sur le même site, parce qu'il y aura des gens qui ne taperont pas le
www.
, ou justement qui le taperont. Les gens s'attendent en général à tomber sur un site web dans les deux cas, et sur le même, même s'il y a des contre exemples.[^] # Re: pas d'alias !
Posté par InfoLibre . Évalué à -2.
Si tous les liens internes sont relatifs et ne contiennent pas le domaine, il ne doit normalement pas y avoir de passage de domaine.tld à www.domaine.tld et vice-versa. Donc l'alias ne devrait pas gêner, non ?
[^] # Re: pas d'alias !
Posté par raphj . Évalué à 7. Dernière modification le 04 août 2019 à 14:36.
C'est pour les liens externes / partage de liens que ça importe. Tu pourrais te retrouver avec des doublons dans ton historique, aussi. Et quelle version devrait être indexée par les moteurs de recherche ?
Quelqu'un qui a visité example.org et aura téléchargé example.org/style.css et qui suit un lien www.example.org vas devoir retélécharger www.example.org/style.css alors que ce fichier est déjà dans son cache, et c'est dommage (ou pire, /le-dernier-framework-qui-fait-plusieurs-mega.js).
Pour moi, le mieux c'est un document = une URL (+ éventuellement les paramètres get quand c'est vraiment nécessaire).
(sauf dans les cas où plusieurs URLs pour un même site est une fonctionnalité, comme Sci-Hub par exemple)
Quel est l'intérêt de l'alias plutôt que la redirection ?
[^] # Re: pas d'alias !
Posté par InfoLibre . Évalué à -1.
Je définis www comme alias dans le DNS (champ CNAME), non comme une redirection gérée par Apache. Je ne sais pas trop les différences, ça a toujours bien marché.
[^] # Re: pas d'alias !
Posté par raphj . Évalué à 2.
Ce que je suggère, c'est de garder l'alias dans le DNS et de mettre en place une redirection avec Apache.
Sur un site que je gère, c'est WordPress qui se charge de la redirection.
[^] # Re: pas d'alias !
Posté par InfoLibre . Évalué à -2. Dernière modification le 04 août 2019 à 21:36.
C'est ce que j'ai fait. Si j'avais fait la redirection www.domaine.tld -> domaine.tld dans la configuration d'Apache, sans définir le sous-domaine www, elle ne marcherait pas car le DNS n'aurait pas redirigé la requête vers mon serveur. Maintenant, j'ai tout qui est redirigé vers https://infolib.re (sauf s'il y a un sous-domaine autre que www).
[^] # Re: pas d'alias !
Posté par InfoLibre . Évalué à -2.
pour répondre sur la différence entre l'alias et la redirection. L'alias est nécessaire pour que le sous-domaine www soit pris en compte mais il ne suffit pas car il ne permet pas de rediriger les pages, ce que permet de faire la redirection (cas par exemple d'un domaine redirigé vers un autre domaine).
[^] # Re: pas d'alias !
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à -1.
Il y a des sites qui ne sont pas accessibles si on ne met pas les 3 w dans l'adresse, et pas que des petits sites perso, voir par exemple pour la France, le site de la CAF.
Donc oui la mention www est utile.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: pas d'alias !
Posté par InfoLibre . Évalué à 0.
Bizarre, je viens de taper http://caf.fr et j'ai bien été redirigé vers http://www.caf.fr. Mais l'inverse aurait été mieux.
[^] # Re: pas d'alias !
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à -1.
Quand je tape caf.fr dans la barre du navigateur sans http ou https devant, je n'aboutis à rien !
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: pas d'alias !
Posté par Bisaloo . Évalué à 1.
C'est étrange, je viens de tester avec curl et j'ai bien un 301 de
http://caf.fr/
vershttp://www.caf.fr/
aussi.[^] # Re: pas d'alias !
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à -8.
Ce qui est étrange c'est que vous ne lisiez pas ce que j'ai écrit. Donc je répète, quand on tape caf.fr sans http ou https devant dans la barre d'adresse du navigateur Firefox, ça n'aboutit pas. Firefox met un bout de temps à chercher et ne trouve pas.
Alors que, pas par exemple, quand, on tape linuxfr.org on arrive sur le site, idem quand on tape www.caf.fr sans http ou https devant.
Accessoirement, les www. devant un nom de domaine, sur ce site et d'autres (ou en traitement de texte) transforment automatiquement ce qui a été saisi en lien hypertexte (je sais c'est une question de programmation). Ces 3 w servent donc bien à quelque chose.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: pas d'alias !
Posté par Thomas Douillard . Évalué à 7.
(je trouve ta réponse un chouille excessivement agressive. C’est assez inutile de suggérer que ton interlocuteur ne lis pas alors que ton post était piégeux … quand on doit lire entre les mots, même pas entre les lignes parce qu’il n’y en a qu’une dans ton post, faut pas en vouloir à son interlocuteur que ce soit pas complètement compris. Au pire si c’est un effet voulu tu mets un smiley pour dire « ahah t’es tombé dans le piège »)
[^] # Re: pas d'alias !
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à -8.
Non j'ai été précise, plus précisément, j'ai reprécisé les conditions après un premier commentaire où il m'a été répondu, à juste titre, que, quand on saisissait http:// ou https:// devant le nom de domaine, cela ne posait pas de problème. Et je trouve que le "c'est étrange" était un poil agressif par ailleurs.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: pas d'alias !
Posté par Thomas Douillard . Évalué à 9. Dernière modification le 05 août 2019 à 12:25.
Tu ne t’es pas contenté d’être précise, tu as quasi accusé ton interlocuteur d’avoir mal interprété ton post volontairement …
c’est une marque de surprise, c’est pas nécessairement une marque d’agressivité … Ça c’est clairement vu que tu as pris ça pour une marque d’agressivité par contre, et que t’es du genre à partir au quart de tour … c’est dans ce genre de cas qu’on conseille de respirer un peu avant de poster … C’est un peu sec, peut-être, mais si tu relis tu trouveras facilement (à mon avis) une interprétation non agressive à ce post.
Tu mets deux personnes qui ont le même type de caractères dans une conversation, et ça peut partir en vrille pour des broutilles.
[^] # Re: pas d'alias !
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à -10.
Qui êtes-vous pour me donner des leçons ? Hormis le fait que vous avez mal interprété ma première réponse ?
Mais passons, je laisse tomber.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: pas d'alias !
Posté par Thomas Douillard . Évalué à 10.
Le but c’est surtout pas que tu le prennes mal. Mais c’est toujours délicat de prendre cette posture de « donneur de leçon » effectivement, ça risque toujours d’être mal pris alors que c’est pas le but.
Je suis juste quelqu’un probablement d’assez sensible qui à lu ta réponse et vit d’une manière générale mal ce genre d’ambiance, et qui a voulu l’exprimer. On est sur un forum public après tout … Mais je laisse tomber aussi, j’ai épuisé ma dose de diplomatie dans une situation déplaisante /o\
[^] # Re: pas d'alias !
Posté par InfoLibre . Évalué à 3. Dernière modification le 05 août 2019 à 20:10.
Je viens de tester avec Firefox, caf.fr renvoie bien vers http://www.caf.fr chez moi. Peut-être une différence de navigateur ?
PS : je ne pense pas que Thomas voulais être agressif ni donner de leçon, au contraire.
Ça doit être la chaleur, les bouchons, tout ça.
[^] # Re: pas d'alias !
Posté par Thomas Douillard . Évalué à 5.
(et puis si il a la volonté d’être agressif, tu le sauras facilement dans l’éventuelle suite de la conversation, avant vaut mieux laisser le bénéfice du doute)
[^] # Re: pas d'alias !
Posté par Faya . Évalué à 3.
J'utilise Firefox (testé sur ESR 60.8.0 && latest stable 68.0.1). Je "tape caf.fr sans http ou https devant dans la barre d'adresse du navigateur" et ça aboutit.
Cela dit, bien des sites ne mettent pas en place cette redirection donc ça ne serait pas étonnant de la part de la CAF ou n'importe quel autre "gros". Mais ça n'a rien à voir avec l'utilité ou inutilité. Le contraire existe aussi (le site répond sur
example.com
mais paswww.example.com
). Ou les 2 domaines peuvent être 2 sites différents… Il n'y aucun moyen sûr de savoir comment l'admin a paramétré son domaine et ses redirections.Ça marche aussi si on met le protocole, avec ou sans les www. (<= ici la transformation auto est inutile…)
Mais c'est moins 'joli' et plus chiant à taper, surtout pour les non habitués. Du coup il y a un cas où je retrouve une utilité au
www
, c'est avec les nouveaux TLD. Beaucoup ignorent que les.love
,.pizza
&co peuvent correspondre à de vraies URL (j'ai dicté à qqunmonsite.immo
, il a tapémonsite.immo.com
…) Si je fais une affiche aveclemeilleur.cafe
, je risque de perdre tout ceux qui ne se doutent pas que c'est une adresse web. Avecwww.lemeilleur.cafe
ça lève l'ambiguité. https://lemeilleur.cafe aussi mais pour de la communication visuelle c'est tout de suite moins attirant.[^] # Re: pas d'alias !
Posté par guppy . Évalué à 9.
C'est faux. Ca marche pas chez toi, ok. Mais pourquoi tu t'énerves quand d'autres t'indiquent que ça fonctionne chez eux ?
Un comportement normal aurait été par exemple de se demander pourquoi ça ne fonctionne pas chez toi. Mais non, tu préfères sous-entendre que tes interlocuteurs ne lisent pas ce que tu écris. Ils ne t'écoutent pas en somme. D'ailleurs, quand on y réfléchit, c'est évident : la vrai cause de tout ça, c'est qu'ici on n'est qu'une horde de macho mal élevés.
[^] # Re: pas d'alias !
Posté par raphj . Évalué à -5. Dernière modification le 06 août 2019 à 15:09.
C'est quoi le rapport ? Merci de garder tes remarques impertinentes pour toi.
[^] # Re: pas d'alias !
Posté par Kerro . Évalué à 5.
Pour ma part, ça fonctionne sans problème en redirigeant vers www.caf.fr
[^] # Re: pas d'alias !
Posté par kna . Évalué à 10.
Par contre, le https qui redirige en http, c'est moche.
[^] # Re: pas d'alias !
Posté par Zenitram (site web personnel) . Évalué à 9. Dernière modification le 04 août 2019 à 20:39.
Oui, c'est mal, tu as 2 sites web avec le même contenu. de la duplication vue de l'utilisateur.
Ca fait partie de l'URL.
www.domaine.tld et domaine.tld sont deux URL différents, que ça te plaise ou pas.
Et ils pourraient avoir 2 contenus différents, que ce soit "équivalent" n'est qu'une convention humaine (d'où la redirection qu'on retrouve souvent).
Bref, décide quelle est l'URL de ton site (avec ou sans www, il y a débat, perso je ne vois pas l’intérêt d'un sous-domaine pour l'activité principale donc sans mais c'est perso) et redirige l'autre sur cette URL pour les gens n'écrivant pas correctement l'URL fournie. Fait attention aussi qu'une URL avec https n'est pas forcément la même qu'une URL avec http (c'est aussi 2 sites différents, mêmes si 99.999% des gens fournissent la même chose sur ces 2 URL; rappelle toi juste qu'on peut fournir des sites très différents, alors si on te dit que l'URL a un s dans https garde le, point). Ha, aussi ton idée d'enlever index.xxx est dans la même vaine (URL différente, résultat peut être pareil… Ou différent, que tu vois après 3 sites que tu essayes que c'est pareil ne veux pas dire que ça l'est pour tous les sites).
Au final, avec de telle non conseils, je ne peux que conseiller de ne pas écrire de journal avec des conseils que tu ne comprends pas, le plus important est sans doute le https dont tu veux enlever le s alors qu'on n'arrête pas au contraire de dire aux gens de passer au https pour l'intégrité et la vie privée. Heureusement que pour contrer ce genre de bêtises balancées sans comprendre l'impact les personnes qui s’intéressent à la sécurité on mis en place HSTS Preloading, le navigateur saura alors que l'utilisateur a écrit "http" par bêtise car le gestionnaire du site ne l'a jamais indiqué (mais il a indiqué que si un utilisateur a écrit http c'est une bêtise de sa part) et le navigateur ne fera jamais cette requête http non intègre, il passe de suite à https.
Au final il n'y a qu'un conseil ("ne pas mettre / à la fin d'un domaine, ça ne sert à rien.") qui ne fait pas de dommages (la, en effet, ça sera la même pas, et les navigateurs forcent le slash pour la requête et n'affichent pas le slash à l'utilisateur).
[^] # Re: pas d'alias !
Posté par InfoLibre . Évalué à -10.
Tu as le melon, c'est de la bêtise ou tu ne te rends pas compte de la façon dont tu t'adresses aux gens ???
[^] # Re: pas d'alias !
Posté par Anonyme . Évalué à 7.
Forcément quand tu touches un sujet que beaucoup de gens dans l'auditoire maitrisent mieux que toi et que tu présentes tes avis sur un ton péremptoire sans aucune humilité, tu t'exposes à des réactions agacées ou moqueuses.
[^] # Re: pas d'alias !
Posté par raphj . Évalué à 0. Dernière modification le 04 août 2019 à 23:40.
Zenitram, c'est vrai que ta façon de t'adresser à rapido n'est pas idéale.
Ce n'est pas en attaquant les gens que tu vas les convaincre. Ça n'a jamais tué personne de montrer un peu de respect et de sympathie. On est là pour apprendre, et d'ailleurs le journal finit par une question : "qu'en pensez vous ?". Je trouve que ça change un peu la perspective de lecture, et cela a donné lieu à une discussion intéressante qui me resservira probablement de référence à l'avenir, même si les conseils du journal restent problématiques en effet. Les lecteurs du journal devraient lire les commentaires.
Cela étant dit, en enlevant les attaques, le message est tout à fait pertinent.
Je ne connaissais pas l'hsts preloading. C'est intéressant. C'est dommage que ça soit centralisé, encore une fois géré par Google. Vivement qu'une solution basée sur une entrée DNS sorte.
[^] # Re: pas d'alias !
Posté par Zenitram (site web personnel) . Évalué à 6. Dernière modification le 05 août 2019 à 09:09.
De mon point de vue un journal est fait pour enseigner à d'autre un minimum de choses, avec des petites erreurs que les commentaires corrigeront, pas 99% d'erreurs (pour ça on poste sur un forum si on n'y connaît rien et qu'on veut de l'aide pour savoir si ce qu'on a compris est correct).
Le "qu'en pensez vous ?" et tout à la fin sans aucun avertissement en début de journal que c'est de la part d'une personne qui n'y connaît en fait rien (pas un insulte, juste un fait, et vaut mieux prévenir quand on écrit un journal qui est sensé informer) et aimerait un avis.
Et balancer un truc aussi énorme complètement à l'opposé de toute bonne pratique (le coup de "alias, pas redirection" m'a déclenché un truc, certes) a effectivement le don de m'hérisser les poils. Note que je n'ai pas attaqué la personne (je ne connais pas cette personne), juste le journal.
Note que cette personne a balancé ensuite "tu ne te rends pas compte de la façon dont tu t'adresses aux gens" sans se rendre compte de la façon dont elle s'est adressées aux gens (= en ne prévenant pas qu'elle n'y connaissait rien, en balançant une tonne de mauvais conseil), et toutes ces autres réponses laissent à penser qu'elle n'a pas compris à quel point elle s'est trompée, balancer ce journal est pour moi non pas seulement inutile (voir la note du journal), mais aussi très agressif (l’agressivité est une notion subjective…), l'auteur du journal s'excusera-t-il d'avoir agressé les gens en balançant des contre-vérités dangereuses? Assumera-t-il si un jour ses conseil font que la machine d'une personne est trouée (oui, on parle de sécu, qu'il réduit pour du confort relatif)?
bon, passons, pas un sujet bien intéressant, ce n'est pas une façon nouvelle de faire, des conseils de ce genre il y en a plein (et c'est pas pour rien que les experts sécu prennent comme postulat que l'utilisateur va faire des bêtises genre ne pas mettre le s à https :) ).
Oui, c'est dommage mais comme les certificats SSL la centralisation est mieux que les 36 autres solutions imaginées en théories mais ne marchent pas : réalité contre théorie. Surtout qu'à long terme ce n'est pas scalable (c'est une liste, elle ne peut être à ralonge; ça prend des mois d'ajouter et enlever des sites), donc c'est une solution temporaire par design.
La solution basée sur DNS ne marche pas bien aujourd'hui car DNS est en clair dans pas mal de cas, DNSSEC étant pas très bien adopté, et donc l'attaquant n'a qu'à modifier la réponse DNS. Mais si je me souviens bien c'est dans les idées à long terme.
Dans un monde idéal, pas mal de choses seraient dans le DNS, la première connexion demandée quand un utilisateur cherche un nouveau site, reste que ce dernier met beaucoup de temps à se sécuriser (ce n'est pas simple).
[^] # Re: pas d'alias !
Posté par eric gerbier (site web personnel) . Évalué à 2.
non, c'est l'inverse, je ne crée que www.domaine.tld !
# +1
Posté par ComputingFroggy (site web personnel) . Évalué à 5.
Je suis à peu près d'accord avec la plupart des commentaires.
Je comprends ce que tu veux faire rapido cependant, tu supposes que tout le monde travaille "bien" … et encore dans ton sens du "bien" … mais le web c'est le far-west : tout le monde fait ce qu'il veut, et il n'y a que peu de règles.
En particulier :
polo.com
ne fonctionnerait pas etwww.polo.com
oui … ou le contraire) , et qui ne font pas systématiquement une redirection. Donc encore une fois, utilise l'adresse donnée.index.php
ouindex.html
à la fin d'une URL, ce n'est pas forcement une bonne idée car si le site change et que le webmaster fait une redirection depolo.com/index.html
vers autre chose (et qu'il ne fait pas de redirection de polo.com - ce qui serait une mauvaise idée mais encore une fois qui se serai déjà vu) et bien tu ne bénéficie plus de la redirection.Bref, en résumé pour moi la seule règle, est j'utilise l'URL telle qu'elle est sur le site. Comme ça, s'il y a un souci c'est que vraiment le webmaster ne se soucie pas de ses liens, et du coup qu'il ne fait vraiment pas bien son boulot.
# À la recherche du domaine perdu, la plaie des SEO
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
LinuxFr.org existant depuis plus de 21 ans et contenant un paquet de liens dans sa centaine de milliers de contenus, on a aussi beaucoup de liens cassés. Notamment des domaines disparus parce que le nouveau gouvernement décide que l'Agence Nationale pour la Modernisation du Progrès Démocratique pour Tous doit être renommée en Direction Générale pour le Développement de l'Avancée Globale Citoyenne, ou que la Banque S'croc doit se renommer Kikoolol Thuneo pour faire oublier une fraude ou… bref.
Et chaque semaine on reçoit au minimum une demande d'un bon samaritain qui a détecté la disparition des domaines anmpdt.gouv.freu ou banquescroc.flouss et qui nous propose de les remplacer par seoquitache.pipo/anmpdt et /banquescroc qui sont trop pérennes et contiennent trop d'infos pertinentes. Re-bref, ça saoule les liens pétés et les SEO.
[^] # Re: À la recherche du domaine perdu, la plaie des SEO
Posté par raphj . Évalué à 10. Dernière modification le 04 août 2019 à 14:56.
Pour réduire la charge de travail de l'équipe de modération de LinuxFR, je propose d'interdire les liens.
En effet, plus de lien ⇒ plus de lien cassé.
La preuve :
Règle 1 : il n'y a pas de lien.
Observation 1 : tous les liens cassé sont des liens (admise).
Supposons E un ensemble non vide de liens cassés.
Prenons L un lien cassé de cet ensemble.
L est un lien, d'après l'observation 1.
Donc, d'après la règle 1, L n'existe pas.
Contradiction : L est dans E, mais n'existe pas.
Absurde. □
Donc si on interdit les liens, plus de lien cassé.
[^] # Re: À la recherche du domaine perdu, la plaie des SEO
Posté par Astaoth . Évalué à 8.
Puis comme ca on anticipe la future loi sur la taxation des liens hypertextes.
Emacs le fait depuis 30 ans.
[^] # Re: À la recherche du domaine perdu, la plaie des SEO
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 1.
À l'époque où je suivais le monde du SEO d'un peu près, on y parlait de sites ou de logiciels qui se chargeait de vérifier les liens et de dire ce qui était bon et ce qui ne l'était pas. Ce serait utilisable pour linuxfr il me semble.
Bon ça n'éviterait pas les SEO (souvent les plus mauvais) à l'affût de n'importe quelle opportunité fût-elle pourrie pour distribuer sa manne de liens (plus ou moins assortie).
Mais ça reste enquiquinant et ce n'est pas l'apanage des liens gouvernementaux, dans le logiciel libre, par exemple, il y en a qui sont aussi assez doués pour ça ai-je constaté à ma petite échelle (balai, porte, tout ça).
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.