Forum / Site malekal en HTTPs

Message par **Malekal_morte** » 06 avr. 2014 11:06

Suite à impossibilité de renouveler le certificat gratuit du forum qui était arrivé à expiration.
J'ai finalement acheté deux certificats, du coup, le site et le forum sont maintenant disponibles en HTTPs, sans alerte provenant du navigateur.

https://forum.malekal.com
https://www.malekal.com

: Certificat HTTPs Chrome

: forum malekal HTTPs

A quoi ça sert ? cela permet en autre, surtout sur le forum, de transmettre ses cookies et ses identifiants lors de l'authentification de manière sécurisé et non en clair, ce qui peux, si vous vous connectez depuis des connexions publiques, cela peux poser problèmes (interception etc - voir : anonymisation-sur-internet-avec-proxy-web-t15059.html ).

En théorie, cela assure aussi que vous êtes bien sur le vrai site malekal, puisqu'une vérification sur l'identité du site est faite. (bon bien sûr, y a surement moyen de contourner cela).

L'autre gros avantage, c'est que maintenant les navigateurs interdisent le contenu mixte, c'est à dire un site HTTPs qui charge du contenu externe en HTTP, le contenu interdit étant les scripts.
Cela fait que si vous vous connectez sur le site/forum en HTTPs que ce dernier a été hacké (insertion d'un contenu externe en HTTP) et que vous interdisez le chargement mixte, le contenu ne sera pas chargé et donc impossible d'être infecté.
Firefox affiche le message : Firefox a bloqué du contenu non sécurisé.

Le HTTPs n'est pas forcé, si vous souhaitez utiliser le HTTPs, c'est à vous de le forcer dans l'adresse de votre favoris pour accéder au forum/site.

: forum malekal HTTPs

Chrome met un bouclier avec un triangle jaune et à droite, vous avez le message qui vous informe que des scripts de source externe non sécurisée tentent d'être chargées :

: HTTPs contenu mixte Chrome

C'est donc surtout pour les paranos

Par contre, la navigation est un peu plus lente qu'en HTTP.

xtrem47 · Message par **xtrem47** » 06 avr. 2014 12:51

Bonjour,

Merci pour ces modifications Malekal Morte.

Pour ceux qui utilisent HTTPS Everywhere avec Firefox il est possible de forcer automatiquement le passage en https sur le domaine.

Il suffit de créer un fichier XML (avec le nom que vous voulez) dans C:\Users\%username%\AppData\Roaming\Mozilla\Firefox\Profiles\????????.default\HTTPSEverywhereUserRules.

Et mettre dedans :

Code : Tout sélectionner

<ruleset name="Malekal.com">
  <target host="malekal.com" />
  <target host="forum.malekal.com" />

  <rule from="^http://(www\.)?malekal\.com/" to="https://www.malekal.com/"/>
  <rule from="^http://forum.malekal\.com/" to="https://forum.malekal.com/"/>
</ruleset>

Message par **Malekal_morte** » 06 avr. 2014 13:33

Merci pour le complément, je regarderai si ça ne pose pas de problème de forcer le HTTPs.
Le problème c'est que je vais perdre Varnish, il gère pas :'(

i ro · Message par **i ro** » 02 juin 2014 04:31

Salut,

la règle pour https everywhere ne fonctionne pas chez moi, en voici une valide pour tout le site:

Code : Tout sélectionner

<ruleset name="Malekal.com">
  <target host="*.malekal.com" />

  <rule from="^http://([^/:@]*)\.malekal\.com/" to="https://$1.malekal.com/"/>
</ruleset>

Merci Malekal

i ro · Message par **i ro** » 06 août 2014 18:41

Edit: Je me suis aperçu que pjjoint et la newsletter ne fonctionnait pas avec la règle que j'ai mis. En voici une nouvelle.

Code : Tout sélectionner

<ruleset name="Malekal.com">
  <target host="www.malekal.com" />
  <target host="forum.malekal.com" />
  <rule from="^http://(www|forum)\.malekal\.com/" to="https://$1.malekal.com/"/>
</ruleset>

Message par **Malekal_morte** » 08 août 2014 10:10

Le certificat ne fonctionne pas pour ce sous-domaine, donc ça doit générer des erreurs d'identité, si tu veux y aller en HTTPs.

Malekal's forum