desktop.ready a écrit 130 commentaires

Zut voir la réponse plus bas : j'ai confondu proxy et reverse-proxy

Ah j'ai confondu proxy et reverse-proxy, c'est pas la même chose effectivement.

J'ai pas compris

combien de temps je passe à maintenir 2 accès.

Par curiosité (bon, OK : pour rigoler), chiffre ce temps.

J'ai mis grosso-modo 20-30h au doigt mouillé pour configurer l'HTTPS en partant de zéro (c'est mon premier site web, soyez indulgent).
Ajouter l'accès HTTP en parallèle me prendrait je pense la moitié du temps.

Mais c'est surtout la perte de la simplicité de mon site dont j'ai peur. Et il sera plus dur à administrer.

D'ailleurs, dans ton journal, tu dis que tu continues à maintenir HTTP quand même (redirection, mais quand même présent).

La maintenance de l'accès HTTP c'est un peu plus qu'une simple redirection dans mon cas.
Par exemple j'ai un proxy cache comme Varnish et il faudrait que je modifie la ré-écriture des en-têtes proprement (actuellement fait dans Varnish) et que je voie comment le backend doit gérer les cookies (j'ai activé l'option "cookie via HTTPS seulement" car c'était plus simple).

Je ne dis pas que ce ne serait pas plus facile pour toi ou pour des administrateurs expérimentés. Mais bon comme c'est mon premier site web je suis allé au plus simple.

combien de personnes je perds à cause (…)

Perso, je m'en fout un peu de ça à partir du moment où ça me coûte pas grand chose à maintenir : question de respect du visiteur sans lui imposer mes choix "pour son bien".

Tu vois bien que tu fais ce compromis toi aussi « à partir du moment où ça me coûte pas grand chose à maintenir ».
Dans mon cas, je dois être moins expérimenté donc cela me coûte beaucoup.

Et un lien rigolo et relatif au sujet :
Cochons dansants

Laisser le choix au gens plutôt que leur imposer ta vision du monde?
Sinon, sympa pour les gens qui ont accès qu'au port 80 à cause de proxy nazi.

L'argument se tiendrait si cela avait un impact significatif sur « les gens ».
En pratique j'ai subis le proxy Websense et de mémoire il laissait tranquille le HTTPS.
Il y en a beaucoup des proxy qui filtrent sans discrimination l'HTTPS ?

C'est une question de compromis : combien de personnes je perds à cause de ces proxy nazi et combien de temps je passe à maintenir 2 accès.

J'ai eu le même genre de question lorsque j'ai dû choisir mon hébergement : certains hébergeurs sont bloqués par certains proxy (kimsufi par exemple) mais par contre ils ne sont pas chers.

Si personne n'a de statistiques pertinentes sur le sujet, je suppose que je peux réaliser moi-même l'expérience et voir dans mes logs combien d'accès HTTP ne sont pas suivis par un accès HTTPS.

Question inverse : avez-vous donc quelques pistes intéressantes pour justifier de ne pas conserver un accès HTTP ?

Ben oui : cela m'évite des efforts pour installer/maintenir.
Pour le moment, je considère que j'y gagne plus (i.e. moins de temps à installer/maintenir) et que j'y perds pas grand chose (les gens qui subissent les proxy nazi).

Le but de ce journal c'est justement de voir si quelqu'un a des données factuelles pour remettre en question mon raisonnement.
Si tu as des sources qui donnent des chiffres à propos de ces proxy nazi, cela m'intéresse beaucoup.
Sinon je verrai par moi-même.

Pour la sécurité, c'est mort, te requète HTTP étant acceptée on peut l'intercepter et rediriger autrement.

Je ne comprends pas : rediriger vers où ?
Tu veux dire que http://example.com peut être redirigé vers https://example.com.piratage ?
Si oui je ne vois pas en quoi c'est différent de rediriger https://example.com vers https://example.com.piratage

Pourquoi cette manie d'imposer aux autres sa vision en refusant de laisser un choix?

Parce que tout est affaire de compromis ?
Je suis justement à la recherche de bons arguments pour réaliser le meilleur compromis.
Ton argument avec celui plus haut que l'HTTPS n'est pas compatible avec certaines publicités sont les seuls qui répondent vraiment à la question du journal. Par contre c'est relativement vague (pas de données chiffrées) et donc ne fait pas trop pencher la balance.
Je vais rechercher par curiosité si on ne trouve pas des chiffres sur tes proxy nazi.

Procès d'intention ?

Même réponse que plus haut : j'utilise Varnish et cela marche très bien avec HTTPS.
J'ai juste mis Nginx devant pour interpréter l'HTTPS et il se débrouille après avec Varnish.
Il y a 2-3 trucs à configurer pour mettre les bons en-têtes mais j'étais loin d'être le premier à faire cela et on trouve pleins d'explication sur internet.

Aucun problème de mon côté avec Varnish et l'HTTPS.

1. ne pas fournir du tout d'accès HTTP : l'internaute qui essaie sans HTTPS tombe sur un refus de connexion et doit de facto s'habituer à bien demander du HTTPS ;
2. fournir un simple page d'erreur en HTTP, expliquant qu'il faut bien taper HTTPS ;

Je suis un peu mitigé sur l'idée.
Est-ce que tu aurais quelques statistiques sur l'effet de ce genre de politique ?
Il ne me semble jamais avoir vu de site web avec ce genre de système en place, tu as des examples ?

1. utiliser HSTS, l'internaute essayant en HTTP se retrouvant dirigé en HTTPS et son navigateur retenant cela pour ne plus jamais y accéder en HTTP.

J'avoue y avoir pensé mais avant de mettre une longue durée pour max-age, j'attendais un peu d'avoir les réponses à mes interrogations dans mon journal.
Si quelqu'un arrive avec des raisons valables de garder un accès HTTP, je vais peut-être remettre en question pas mal de choses.

Reste l'envoi des emails avec SSL que je ne sais pas faire.

Tu n'arrives pas à configurer pour utiliser TLS ?
Je n'ai pas souvenir d'avoir eu beaucoup de difficultés.

Le plus compliqué reste à trouver des certificats SSL abordables. En gros, un certificat pour un nom de domaine coute 5 à 10€ et un wildcard entre 50 et 100€.

Tu peux trouver des certificats wildcard gratuits sous certaines conditions. Par exemple au hasard (je n'ai pas essayé, j'ai juste pris le premier lien sous Google) :
Free SSL Certificates for Open Source Projects

Le seul argument qui tient vraiment la route (je ne dis pas que je suis d'accord avec, je suis même anti-pub et n'hésite pas à payer pour certains sites, mais c'est ce que j'ai lu sur le web) concernant la difficulté d'avoir du HTTPS partout concerne la pub sur les sites web : en effet, peu de vendeur de pub propose du HTTPS.

Ah voilà une raison valable ! Comme marqué dans mon journal, AdSense est passé au HTTPS. Je suppose que les autres ne vont pas tarder.

je continue de même parce que j'en ai marre de cette paranoïa

Personnellement je ne me suis même pas posé ce genre de questions philosophiques.
En gros tu peux trouver pleins de bonnes raisons pour utiliser HTTPS (voir plus haut le message d'Adrien par exemple) et quand je demande les inconvénients c'est presque le vide complet.
Donc vu la facilité avec laquelle j'ai mis cela en place et le coût relatif, le choix a été vite fait.

De plus, si la mise en place d'un certificat est facile pour un domaine, ça commence à devenir galère pour du multi-domaine avec des sous-domaines dans tous les sens

Est-ce qu'un certificat wildcard ne règle pas ce problème ? oui c'est un peu plus cher…

libdvdcss est pour lire des DVD zoné. C'est bien ça ?

Non c'est plutôt pour lire des DVD chiffré du commerce. Le dézonage, c'est un effet de bord malheureux.

Les Bahamas c'est un paradis légal en plus d'être un paradis fiscal ?

SlySoft c'est légal au Bahamas ou ils font juste cela pour embêter les USA ?

Oui je peux trouver des hébergeurs sympathiques comme ici :
http://www.hacker10.com/other-computing/list-of-free-speech-and-offshore-hosting-companies/

Mais la question c'est justement de ne pas dépendre de l'hébergeur. Aussi sympathique soit-il, il va se plier à la loi de son pays (ou du pays où se trouvent les serveurs).

Moi je cherche à rester dans la légalité du pays. Donc il faut que je trouve un pays dont la loi est sympathique.

Réponse intéressante, merci !

Mais si possible je préférerais une solution qui ne repose pas sur mon anonymat.

Si on se repose sur ton argumentation, je suis doublement à risque : car mon site est accessible en France et parce que je suis français (crime ou délit commis par un français).
Par contre cela se complique si je suis actionnaire (majoritaire ou pas) d'une entreprise étrangère.
Ou bien si je suis le PDG français d'une entreprise étrangère.

Je vais finir par créer une entreprise au bahamas avec des sociétés écrans si ça continue…

Je crois que je ne vais pas m'en sortir tout seul…
Quelqu'un connaît un bon avocat pouvant répondre à ce genre de questions ?

Tu fais référence peut-être à LICRA contre Yahoo! ?

Comme je l'ai écrit, personnellement je trouve cela pas trop étonnant que la loi puisse s'appliquer en dehors du territoire. Discutable, oui certainement, mais je ne vois pas trop comment faire autrement.

La question est alors moins de trouver un pays dont la loi ne s'applique pas en dehors du territoire, que de trouver un pays dont la loi est plus sympathique pour ses activités.

Est-ce immoral pour un citoyen français ? Beaucoup de société font cela pour des raisons purement pécunières.
Dans mon cas je considère plutôt cela comme une question de liberté d'expression (i.e. comment lire ses dvd sous linux ?) donc je n'ai pas trop d'arrière pensées.

Personnellement je suis sous Wheezy et je ne sais pas si j'ai de la chance ou si les mainteneurs Debian font du très boulot mais j'ai rarement eu des problèmes qui relèvent de Debian et pas de l'upstream, du moins pour les logiciels applicatifs (c'est une autre histoire pour ce qui touche à l'infrastructure système).

Du coup je fais le chemin inverse : lorsque j'ai un problème je vérfie d'abord avec l'upstream (activement ou passivement) et c'est seulement en dernier recours que je regarde ce qui a été fait par Debian. Et comme cela en plus cela fait moins de boulot pour les mainteneurs Debian.

Sinon c'est un peu par facilité que j'utilise deb-multimedia. C'est plus facile pour récupérer libdvdcss, lame, mencoder avec les bons codecs, etc.

Bien vu !
Mais du coup j'étais encore dans la fenêtre de temps pour modifier le message, donc cela ne se voit plus ;-)

Si ta société est en France et que tes serveurs sont aux US, il n'y a rien que tu puisses faire si les policiers se présentent avec un jugement US autorisant la saisie des serveurs (bon si tes données sont chiffrées, c'est moins grave).

Oui, les cartes desktop n'ont pas vraiment l'air d'être prêtes pour réduire la consommation.

Cela dépend : Nvidia a réussi à réduire la consommation en fonctionnement de manière spectaculaire (Maxwell). AMD a réussi à réduire la consommation en idle de manière spectaculaire (zerocore).

Je crois que je vais partir sur du AMD pour voir. Mais il semblerait que les cartes consomment beaucoup plus que les Maxwell de Nvidia en fonctionnement (j'aurais aimé rester sous la barre des 180W), qu'au format low profile il n'y a que des trucs un peu vieux et pas très performant (HD 7750) et enfin que la compatibilité des pilotes propriétaires avec linux est moins bonne comparée à Nvidia.

Tu veux parler des Nvidia Stryx ?

Je surveille d'un oeil pour voir les performances. Mais je crois que cela va résoudre le problème du bruit mais pas celui de la conso. J'attends les tests !

pour utiliser certaines specificités AMD il faut les pilotes proprios, helas, il n'est pas reputé super stable.

Hélas je sais bien. J'étais plutôt parti sur Intel+Nvidia pour éviter les problèmes de compatibilité avec linux (même si je sais que AMD fait plus d'effort envers le libre que Nvidia).
Mais bon il semblerait que Nvidia parte sur "basse conso en fonctionnement" et AMD "basse conso en idle". Et c'est bien le fonctionnement en idle qui m'intéresse (joueur occasionnel).

donc si tu veux vraiment baisser la conso, la solution s'est peut-etre mettre un PC avec un IGP un peu plus consequent, virer la carte graphique et jouer sur l'IGP.

Pour des jeux basiques, c'est une solution possible.
Pour des jeux intensifs d'un point de vue graphique, c'est difficile de se passer d'une carte graphique dédiée si tu veux jouer avec un minimum de détails.

C'est vraiment dommage car hormis ce comportement des Nvidia en idle, j'avais toutes les pièces en main !

La mise en veille du PC complet ou de la carte ?
Je ne peux pas mettre le PC complet en veille (car je m'en sers).

La Nvidia gère automatiquement sa consommation, je n'ai normalement pas besoin de mettre les mains dans le cambouis. C'est juste qu'elle consomme près de 10W lorsqu'elle ne fait rien.

Après quelques recherches, je crois que AMD est bien plus adapté dans mon cas d'utilisation avec leur techno zerocore (conso < 4W et ventilo éteint lorsque l'écran est éteint).

bbswitch ne fonctionne pas : la carte n'est tout simplement pas compatible (ce qui ne m'étonne guère) et impossible de la mettre dans un état "low power state" autre que celle par défaut.

Je vais sans doute essayer de partir sur du AMD Radeon qui possède un mode zerocore qui devrait me convenir.