dimanche 20 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF
aide





[Administration] Redirection automatique de http vers https selon une pref

Soumis par Mathieu Pillard (page perso, ) le 09 décembre 2004. Fermé par Bruno Michel (Jabber id, page perso, ) le 26 juillet 2007. 0 vote(s). Voter pour cette tâche
Un truc qui serait pas mal, j'ai souvent ce problème: - Je me loggue tout bien en https - On me file un lien en http - J'y vais, et j'oublie ma session https Un truc qui serait bien donc, c'est une pref par utilisateur, qui redirigerait vers la version https quand on est sur la version http. Par contre ça devrait être fait suffisamment "tôt" pour ne pas perdre l'information sur les nouveaux commentaires par exemple...

> Lire l'entrée (6 commentaires, moyenne: 1,8).  

Il est trop tard!

Posté par jimee (page perso, ) le 20/01/2005 à 15:44. (lien). Évalué à 1.

Le problème, c'est que quand on suit un lien en http (alors qu'on est loggué en https), le navigateur envoie le cookie avant même qu'on puisse faire la redirection en https...

Il me paraît vital (du point de vue de la sureté) que l'identification en https produise un "cookie sécure" (le dernier paramètre de l'en-tête Set-Cookie, cf http://wp.netscape.com/newsref/std/cookie_spec.html(...)). Et là, la suivation (filature?) d'un lien http envoie sur une page où l'on n'est pas identifié, et dans ce cas pas de redirection possible :(

En conclusion, il faut choisir entre les deux : soit un cookie sécurisé, soit une redirection. Deux options, non cumulables.

Petite parenthèse : là où c'est gênant, c'est quand on ne voit pas le lien http, inclus dans une page d'un autre site, par exemple dans les pages "en cache" de google. Vous avez essayé? C'est troublant, cette boîte de login déjà remplie... http://www.google.com/search?q=cache:RdsCAMe2x9sJ:linuxfr.org/forum(...) ...mais là c'est une autre histoire!

--
C'est la lutte finale
Groupons-nous et demain...

[ Répondre ]

 
Vous n'êtes pas identifié. Vous ne pouvez poster des commentaires sur LinuxFr qu'après avoir créé un compte. Vous pouvez soit:


 
Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0405s (dont 0.0013 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.