Qui veut du https ?

[Alana]

Etant donné que durant les derniers jours j'ai fait le plus gros du boulot
(voir ici : http://hoper.dnsalias.net/tdc/index.php?post/2015/09/11/TDC-en-https-%28enfin...%29 )
Permettre l'accès au site rdv1 en https me prendrait maximum 10 minutes.

Cela dit comme je doute que cela intéresse beaucoup de gens, je pose la question avant
Tiens, je vais même essayer de faire un sondage pour rire...

[Caïthness]

Perso ça m'est égal, mais le pb va être pour l'histoire du certificat. Ca risque d'en refroidir plus d'un, et par truchements, peut-être diminuer les visites des extérieurs :/
Mode perso : ok
Mode visibilité : hmmm... c chô non ?

[Skarn]

Perso ça m'est égal, mais le pb va être pour l'histoire du certificat. Ca risque d'en refroidir plus d'un, et par truchements, peut-être diminuer les visites des extérieurs :/

On est en 2015. Tous les navigateurs supportent parfaitement le HTTPS depuis des siècles, et s'efforcent de forcer son usage dès qu'ils le peuvent. La différence de performances est dorénavant ridicule, en particulier dans un contexte où le moindre site, y compris celui-ci, abritent de « lourdes » images (par comparaison avec du texte brut) et les problématiques de cache sont mieux comprises.

Du côté client, c'est-à-dire nous, les utilisateurs du site, il n'y a virtuellement plus aucune raison de ne pas l'utiliser à partir du moment où il est disponible. Car c'est un gain de sécurité énorme. Soyons clair, à chaque fois que vous vous connectez sur un site en HTTP classique, n'importe quelle personne débrouillarde en informatique peut attraper votre mot de passe au vol et voler votre compte. Sur RDV1, ce n'est évidemment pas critique (pas d'informations bancaires ou trop personnelles), mais, à tarif égal, autant fermer la porte aux ennuis.

Le seul frein, c'est que c'est un peu de boulot et de contraintes en plus pour le sysadmin (celui qui gère le serveur). Mais si Alana dit que ce boulot est déjà fait et qu'il n'a plus qu'à brancher les câbles (c'est une image), moi je lève les deux pouces.

Par contre, d'après Firefox, le certificat de https://hoper.dnsalias.net/tdc est invalide...

EDIT : OK, je viens de me rendre compte que tu proposais un certificat auto-signé... Là par contre, c'est un peu le remède pire que le mal, car tous les navigateurs du monde vont le refuser à moins d'une action explicite (en mode super-utilisateur) du lecteur... Tout de suite, ça perd un peu de son intérêt et j'ai envie de dire que c'est pas la peine de t'embêter au final...

[Alana]

Par contre, d'après Firefox, le certificat de https://hoper.dnsalias.net/tdc est invalide...

J'ai expliqué dans le billet pourquoi

Globalement, pour avoir une signature provenant d'une autorité de certification reconnue par défaut dans les navigateurs, c'est payant.
Alors que, franchement, je n'accorde qu'une confiance limité dans beaucoup de ces sociétés.
(Même verisign s'est ridiculisé il n'y a pas si longtemps il me semble, en accordant un certificat "microsoft" à une personne qui n'en
faisait absolument pas parti). Bref, pour moi ce qui compte c'est que la communication soit chiffré.
Après, la confiance dans le certificat et bien... C'est forcément cela, une affaire de confiance.

Pour l'utilisateur, il faudra donc soit accepter le certificat, soit installer le certificat de la CA que j'ai crée pour cela.
Ce qui doit se faire en 3 ou 4 clics maximum... Si quelqu'un veut tester, le certificat de cette CA est la:
http://hoper.dnsalias.net/tdc/public/ca.crt

[Caïthness]

EDIT : OK, je viens de me rendre compte que tu proposais un certificat auto-signé... Là par contre, c'est un peu le remède pire que le mal, car tous les navigateurs du monde vont le refuser à moins d'une action explicite (en mode super-utilisateur) du lecteur... Tout de suite, ça perd un peu de son intérêt et j'ai envie de dire que c'est pas la peine de t'embêter au final...

C'est de ça que que je parlais ^^

Pour l'utilisateur, il faudra donc soit accepter le certificat, soit installer le certificat de la CA que j'ai crée pour cela.
Ce qui doit se faire en 3 ou 4 clics maximum... Si quelqu'un veut tester, le certificat de cette CA est la:
http://hoper.dnsalias.net/tdc/public/ca.crt

3 clics (et pour une question de sécurité de surcroît), c'est beaucoup (les gens deviennent fainéants lol). Je suis d'accord avec Skarn pour l'aspect sécurité, mais pour les nouveaux visiteurs, je crains que la visibilité du forum en pâtisse un peu...

[Skarn]

Honnêtement, pour l'immense majorité des utilisateurs, tomber sur une page bizarre à propos de laquelle leur navigateur qui leur dit « c'est pas cool », c'est un aller simple vers la croix façon « ce site est mort et son cadavre a été profané par des pirates, vite, fuyons ».

Mieux vaut rester en HTTP pur dans ce cas. Ce que j'ai dit plus haut reste vrai, à savoir que les informations confidentielles sur RDV1, y'en a pas vraiment.

Ou alors, on se cotise pour acheter un certificat reconnu (c'est quelques dizaines d'euros il me semble).

[Alana]

Cela dit, l'idée n'était pas de supprimer l'accès à http hein... Juste de permettre à ceux qui préfèrent faire de l'https (ce qui est absolument indispensable lorsqu'on surf depuis une zone wifi publique par exemple) de pouvoir le faire...

Quand à :

3 clics (et pour une question de sécurité de surcroît), c'est beaucoup (les gens deviennent fainéants lol)

Je ne dit pas que c'est faux. Mais vu le monde dans lequel on vis, c'est quand même dommage non ? Est ce que ce n'est pas justement à nous, qui savons "un peu mieux" de leur expliquer et de les amener à changer leurs habitudes ?

[Akka]

Une règle de l'Univers, peut-être triste mais bien réelle : le Chemin de la Moindre Résistance.
Si on commence à demander aux gens de cliquer sur des trucs incompréhensibles avant même d'accéder au forum, c'est foutu d'avance. Garanti. La première approche, c'est là où on peut perdre le plus facilement les gens.

Je suis tendance "hardcore" dans mes hobbies, je bosse dans l'informatique, et malgré ça j'ai déjà eu moulte fois l'occasion de laisser tomber d'entrée parce que quelque-chose me demandait un effort sur le début que je n'avais pas envie de fournir sur le moment. Alors pour la moyenne des gens, c'est encore pire.

Donc non, il faut garder une approche la plus ouverte possible (sauf pour les bots).

[Caïthness]

Cela dit, l'idée n'était pas de supprimer l'accès à http hein... Juste de permettre à ceux qui préfèrent faire de l'https (ce qui est absolument indispensable lorsqu'on surf depuis une zone wifi publique par exemple) de pouvoir le faire...

ben si quand un péquin arrive et que tu testes juste le certificat (s'il y est HTPPS, s'il y est pas HTTP) et que c'est transparent pour ledit péquin, alors oui pas de problèmes. Si le certificat (voire même une simple demande) fait apparaître une fenêtre d'alerte, alors, oui c mort et on retombe dans ce qu'à très justement dit Akka

[Namron le Barbu]

Oui en effet, à mon avis (de non-expert), ce serait mieux de façonner un bon système Captcha (ou dérivé) afin de bloquer les spammeurs, plutôt que faire une protection https qui donnera cet effet qui a été décrit plus haut. Parce que dans l'idée, ce serait pas mal de commencer à se faire connaître en dehors du réseau privé rdv1/taverne, comme sur Facebook et consorts. Et donc, garder le site encore un peu plus longtemps en "open-bar". Surtout que ça colle bien avec le travail de ré-organisation. Un bon coup de balai dans la maison, et on invite de nouveaux amis...

J'ai vu pas mal d'expemples de Captcha intéressants, tels que des questions en français en rapport direct avec la thématique du/des sites.

Le type de questions assez vagues pour ne pas être comprises facilement par un robot, et que pourtant un humain pourrait saisir avec un minimum de culture. Exemple tout bête : de quel couleur sont les yeux de Moad'ib* dans Dune? combien de doigts possède Mickey à chaque main (en toute lettres)? si je vous dit "défis", vous me répondez "fantastiques". Si je vous dit "loup", vous me répondez...? combiens de frères et soeurs possède Luke dans Star Wars (ex: deux frères)? 

que signifie ? quel est le sens de la vie? Je m'égare...

*(pardon d'avoir écorché le nom)

[tholdur]

Si on me dit "loup" je réponds "y es-tu?"^^

[Albatur]

Exemple tout bête : de quel couleur sont les yeux de Moad'ib* dans Dune?

*(pardon d'avoir écorché le nom)

Hérétique ! Au bûcher !

C'est Muad'dib