Par exemple, une personne dénommée raphj a été gentil, et a indiqué que c'était une bêtise d'une manière polie avant que je lui rentre dedans. Résultat? L'auteur du journal l'a envoyé chier en augmentant sa démonstration qu'il n'y connaît rien et qui ne cherche pas à comprendre le commentaire auquel il répond
C'est un connard aussi ce raphj !
Plus sérieusement, je n'ai pas interprété sa réponse comme une manière de m'envoyer chier, plus comme une contre-argumentation du fait qu'il n'avait pas encore saisi l'étendu du problème, et/ou comme le fait qu'il est peut-être empêtré dans un biais d'engagement, qu'il faut apprendre à combattre, ce qui n'est pas facile.
Par contre je te le concède:
je n'ai probablement pas été assez direct et ferme sur le fait que ses conseils sont dangereux et que c'est une très mauvaise idée, et heureusement qu'il y en a d'autres comme toi qui l'ont fait :-)
il n'a pas affirmé avoir reconnu que ses conseils sont problématiques. À ce stade, il aurait dû à mon avis. Ce serait reconnaitre qu'il s'est trompé. On n'apprend pas assez à le faire.
Je pense que les notes sont difficilement interprétables, parce que seul un sous ensemble de gens note, probablement parmi lesquels beaucoup de gens qui ont des avis tranchés, et en plus de différentes manières.
Perso je ne note jamais. Combien de gens font comme moi ici ?
En regardant les notes, on a donc l'avis imprécis d'un sous-ensemble de gens et je n'ai aucune idée de la taille de ce sous-ensemble.
Il y a aussi certainement beaucoup de gens qui ne commentent pas. J'ai mis 10 ans avant de me mettre à commenter ici. Difficile donc de connaitre ou deviner l'avis général des lecteurs de LinuxFR.
on préfère des infos solides sur un ton détestable à des fausses vérités
Je trouve les deux inacceptables. Et effectivement, pour moi, on est dans le cas de quelqu'un qui énonce des choses fausses contre quelqu'un qui dit des choses solides avec un ton désagréable (je ne qualifierais pas le ton de Zenitram de détestable - d'ailleurs il n'insulte personne).
Il est insupportable (vrai) mais il a raison… régulièrement et dans le cas présent.
Zenitram a effectivement raison sur le fait que le journal n'est pas assez clair sur l'intention de demander conseil, que c'est dangereux et qu'une telle démarche pourrait avoir plus sa place sur le forum. Pour moi, rapido devrait demander à l'équipe de modération d'ajouter une remarque en évidence dans le journal comme quoi les mesures proposées sont controversées.
Mais ce n'est pas en lui rentrant dedans qu'on va le faire changer d'avis. Notre ami attend d'être convaincu.
Perso, si je me trompe et qu'on me rentre dedans en réponse, je vais devoir faire un gros effort pour ne pas juste me braquer, camper sur ma position, en mode défensif, au lieu de reconnaître que j'ai eu tort ou même écouter ce qu'on a à me dire. Beaucoup de gens ne vont pas faire cet effort, et ça produit une situation complètement improductive.
Zenitram, j'entends que tu n'attaques pas la personne mais le contenu, mais j'ai l'impression que ta manière de dire les choses braque régulièrement la personne en face et que ce n'est pas nécessaire.
Le problème avec ça, c'est que cette attitude risque de décourager les gens à participer sur LinuxFR. Je pense que rapido partait d'une volonté de partager en écrivant ce journal, ce serait dommage de lui faire regretter ça.
On gagnerait à mon avis beaucoup à énoncer calmement les avis ici. Je suis sûr qu'on peut se montrer bienveillant et quand même pointer les problèmes du doigt fermement.
Zenitram, c'est vrai que ta façon de t'adresser à rapido n'est pas idéale.
Ce n'est pas en attaquant les gens que tu vas les convaincre. Ça n'a jamais tué personne de montrer un peu de respect et de sympathie. On est là pour apprendre, et d'ailleurs le journal finit par une question : "qu'en pensez vous ?". Je trouve que ça change un peu la perspective de lecture, et cela a donné lieu à une discussion intéressante qui me resservira probablement de référence à l'avenir, même si les conseils du journal restent problématiques en effet. Les lecteurs du journal devraient lire les commentaires.
Cela étant dit, en enlevant les attaques, le message est tout à fait pertinent.
Je ne connaissais pas l'hsts preloading. C'est intéressant. C'est dommage que ça soit centralisé, encore une fois géré par Google. Vivement qu'une solution basée sur une entrée DNS sorte.
Ton article date de 2011. Je ne comprends pas le rapport avec Let's Encrypt. Comment ça, il y a trop d'argent en jeu ? N'importe qui peut obtenir un certificat Let's Encrypt gratuitement et le renouvellement s'automatise facilement. Avant Let's Encrypt, il y avait la possibilité d'obtenir un certificat gratuitement aussi. Pour les cas où Let's Encrypt n'est pas suffisant, en général on a les moyens de payer un certificat.
Bien sûr, tu peux toujours faire du person in the middle en HTTPS si tu as le pouvoir d'insérer un certificat chez le destinataire attaqué, mais:
En fait, c'est encore pire en HTTP : tu peux intercepter de façon complètement invisible. Alors qu'en HTTPS, il est encore en général possible de vérifier la provenance des certificats et donc détecter une attaque, sauf si vraiment ton navigateur te ment…
Honnêtement, aujourd'hui, je ne vois plus trop d'excuse à ne pas chiffrer, sauf cas vraiment spécifique… quel serait l'intérêt de déployer un site sans https aujourd'hui ?
Pour réduire la charge de travail de l'équipe de modération de LinuxFR, je propose d'interdire les liens.
En effet, plus de lien ⇒ plus de lien cassé.
La preuve :
Règle 1 : il n'y a pas de lien.
Observation 1 : tous les liens cassé sont des liens (admise).
Supposons E un ensemble non vide de liens cassés.
Prenons L un lien cassé de cet ensemble.
L est un lien, d'après l'observation 1.
Donc, d'après la règle 1, L n'existe pas.
Contradiction : L est dans E, mais n'existe pas.
Absurde. □
Donc si on interdit les liens, plus de lien cassé.
C'est pour les liens externes / partage de liens que ça importe. Tu pourrais te retrouver avec des doublons dans ton historique, aussi. Et quelle version devrait être indexée par les moteurs de recherche ?
Quelqu'un qui a visité example.org et aura téléchargé example.org/style.css et qui suit un lien www.example.org vas devoir retélécharger www.example.org/style.css alors que ce fichier est déjà dans son cache, et c'est dommage (ou pire, /le-dernier-framework-qui-fait-plusieurs-mega.js).
Pour moi, le mieux c'est un document = une URL (+ éventuellement les paramètres get quand c'est vraiment nécessaire).
(sauf dans les cas où plusieurs URLs pour un même site est une fonctionnalité, comme Sci-Hub par exemple)
Quel est l'intérêt de l'alias plutôt que la redirection ?
Perso, je mettrais une redirection en place plutôt qu'un alias (de www.example.org vers example.org ou l'inverse). Sinon, c'est le bazar : deux URL sont valides pour un même contenu. Ça me semble plus propre d'avoir une URL unique. Ça pose aussi moins de problème de cache de ressources (css, javascript) et de cookies (dont le comportement peut certainement être tout à fait étrange entre un domaine et un sous-domaine).
Et en fait, je garderais l'URL principal en www.example.org, sinon tous les cookies de example.org seront envoyés sur les sous-domaines qu'on pourrait vouloir utiliser, or, parfois, on veut tout bien séparer. Parfois, c'est justement un comportement souhaité donc ça a du sens d'utiliser example.org en tant que site web principal dans ce cas. Il me semble que c'est surtout une question de goût et de besoins techniques spécifiques à voir selon les cas. Si on n'a qu'un site et pas (d'autres) sous-domaines, là j'imagine que la question est purement esthétique.
Sur les questions esthétiques, j'ai un argument en faveur et un argument en défaveur de www. :
en faveur : les gens reconnaissent facilement la chose comme une adresse web. C'est d'autant plus vrais avec la pléthore de nouvelles extensions qui sont apparues ces derniers temps.
en défaveur : c'est plus long, et plus chiant à dicter.
Dans tous les cas, je pense que example.org et www.example.org devraient fonctionner et pointer sur le même site, parce qu'il y aura des gens qui ne taperont pas le www., ou justement qui le taperont. Les gens s'attendent en général à tomber sur un site web dans les deux cas, et sur le même, même s'il y a des contre exemples.
La situation me paraît improbable, la plupart des sites ne fonctionnent pas comme ça. Je pense qu'une meilleure solution serait une proposition du navigateur de consulter une page archivée du site.
C'est une idée séduisante, mais je pense surtout que ça devrait continuer se planter horriblement comme ça le fait aujourd'hui pour que la personne en charge du site soit pressée de régler le problème de sécurité de façon urgente.
Les visiteurs ne devrait pas être exposées "automatiquement" à une situation non sûre.
Le travail effectué pour mettre en place ce mécanisme automatique serait mieux utilisé à mettre en place un renouvellement automatique des certificats.
Mais c'est toi qui dit que c'est le bon comportement "si c'est bien configuré". Beaucoup de sites redirigent les requêtes http vers https. Au hasard, google.fr, linuxfr.org, wikipedia.org… et la grosse majorité des sites maintenant. Tu veux dire que tous ces sites sont mal configurés ?
En cas de panne https, la redirection http → https mise en place (que ça soit bien configuré ou non, de toute façon c'est comme ça que les choses sont mises en place dans la nature), ne va pas magiquement cesser de fonctionner aussi dans la plupart des cas.
Mais si, parce que lors de la requête http, un attaquant peut mettre en place une redirection vers une page qui ressemble au site site, et là les gens vont s'identifier sur le faux site.
Même sans parler de redirection, l'attaquant peut aussi savoir :
Quelle page exacte est visitée
la configuration du client
le site d'où le visiteur vient
certainement d'autres choses (probablement pas les cookies, qui devraient être spécifiques à la version https).
On a aussi le cas du comportement que linuxfr.org a eu pendant longtemps : ne pas rediriger vers la version https du site. C'était pénible, tu suis un lien http et tu restes en http, alors que tu voudrais que les visites se fassent en https. Heureusement ce n'est plus le cas.
Autre chose : en cas de panne https, si de toute façon la redirection http → https est faite, le lien sera quand même cassé même si tu pointes vers la version http, puisqu'elle va rediriger vers la version https cassée.
ne pas écrire le www, il ne sert à rien (http indique déjà que ce sont des pages web) et si le DNS est bien configuré, http://www.infolib.re doit par exemple être un alias de http://infolib.re et non l'inverse
C'est ton avis, et sur ce sujet tu trouveras de tout dans la nature. Je pense qu'on ne peut pas tirer de règle générale sur le sujet, alors je serais d'avis de respecter le choix du site cible et d'utiliser l'adresse que le site utilise. Si le site change et que les choses pour maintenir les liens sont bien faites, ce sont les anciennes adresses qui seront traitées, pas celles que tu auras devinées.
Si tu n'utilises pas l'adresse www. alors que c'est ça qui est utilisé, tu vas forcer tes visiteurs à se payer une redirection. C'est lent et inefficace. Pourquoi les faire attendre ?
Je ne pense pas qu'il faut utiliser "http://" plutôt que "https://" par défaut.
Je vois le problème que tu cherches à résoudre, mais dans le cas "http://", le navigateur va être amené à faire une requête claire en http, qui peut être interceptée, espionnée et détournée, puis une seconde requête en https si tout se passe bien, donc c'est plus lent, moins efficace et moins sûr que tu https direct.
Si le site ne fonctionne temporairement pas en https, c'est une panne. C'est normal que ça ne fonctionne plus. Aussi, un https qui ne fonctionne pas ça peut être une attaque en cours. C'est conçu comme ça. Utiliser un lien en http volontairement, c'est désactiver les mesures de sécurité du site cible, ça ne me semble pas très responsable.
Je ne suis pas sûr que les campagnes de sensibilisation ont un impact négatif sur ces gens là.
Sans les campagnes : ils font leur vie comme ils l'entendent.
Avec les campagnes : ils font leur vie, sans rien changer, en raillant les campagnes, les messagers.
C'est même à ça qu'on les reconnaît…
Mais le mot-clé est là : c'est de la défense / protection.
« First they ignore you, then they laugh at you, then they fight you, then you win. »
Mais il parait qu'on peut mettre des carte OpenStreetMap à la place
Oui. J'utilise OsmAnd. Parfois on tombe à un endroit où les numéros ne sont pas mentionnés, mais les cartes sont globalement très bonnes.
La recherche est perfectible.
Je vais préciser : je ne me sens plus concerné « individuellement ».
Ce matin sur France Inter, on pouvait entendre Sébastien Bohler conseiller aux gens de faire de la méditation et de ne pas manger devant la télé (parce qu'on mange plus en faisant ça) pour sauver la planète. Ben voyons. On va inviter les grosses entreprises qui polluent à pratiquer la pleine conscience, pour voir si ça aide, tiens.
À mon échelle, je fais ce que je peux pour limiter mon impact environnemental mais maintenant, c'est clair que ça ne suffira pas et qu'il faut un changement de fond.
Ça serait une erreur de prendre la phrase que tu cites hors du contexte de mon message (et je ne dis pas que c'est ce que tu fais) : je me sens bien concerné par le problème, mais je répondais maladroitement à « ça me tape le système » en donnant une autre perspective à la campagne que la perspective individuelle présentée dans le message auquel je répondais. Bien sûr que c'est pénible qu'on nous fasse la morale, mais il ne s'agit pas que de ça.
La vieille manie de la gauche à faire l'examen de conscience de son voisin va finir par faire fuir une part de son électorat. Je ne vais pas voter pour qu'on me harcèle davantage.
Il va falloir justifier et préciser ça. De quoi tu parles ? C'est beaucoup trop vague. « La gauche » ? Quelle gauche ? « vieille manie » : tu as des exemples ? Et puis, tu as conscience de la force du mot harceler ? Je connais des gens qui ont été harcelés. Le harcèlement, ce n'est pas ça. Tu fais partie des gens qui disent qu'ils sont pris en otage quand il y a une grève ? J'espère que tu voteras surtout avec tes convictions, et que tu n'excuseras pas ton vote avec des justifications bancales. Pas besoin normalement, tu devrais assumer ton vote et tes positions de toute façon (sinon il faut en changer !).
[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 3. Dernière modification le 07 août 2019 à 10:48.
C'est un connard aussi ce raphj !
Plus sérieusement, je n'ai pas interprété sa réponse comme une manière de m'envoyer chier, plus comme une contre-argumentation du fait qu'il n'avait pas encore saisi l'étendu du problème, et/ou comme le fait qu'il est peut-être empêtré dans un biais d'engagement, qu'il faut apprendre à combattre, ce qui n'est pas facile.
Par contre je te le concède:
Je comprends (mieux) ta démarche :-)
[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 1. Dernière modification le 07 août 2019 à 10:23.
Je pense que les notes sont difficilement interprétables, parce que seul un sous ensemble de gens note, probablement parmi lesquels beaucoup de gens qui ont des avis tranchés, et en plus de différentes manières.
Perso je ne note jamais. Combien de gens font comme moi ici ?
En regardant les notes, on a donc l'avis imprécis d'un sous-ensemble de gens et je n'ai aucune idée de la taille de ce sous-ensemble.
Il y a aussi certainement beaucoup de gens qui ne commentent pas. J'ai mis 10 ans avant de me mettre à commenter ici. Difficile donc de connaitre ou deviner l'avis général des lecteurs de LinuxFR.
[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 10.
Je trouve les deux inacceptables. Et effectivement, pour moi, on est dans le cas de quelqu'un qui énonce des choses fausses contre quelqu'un qui dit des choses solides avec un ton désagréable (je ne qualifierais pas le ton de Zenitram de détestable - d'ailleurs il n'insulte personne).
Zenitram a effectivement raison sur le fait que le journal n'est pas assez clair sur l'intention de demander conseil, que c'est dangereux et qu'une telle démarche pourrait avoir plus sa place sur le forum. Pour moi, rapido devrait demander à l'équipe de modération d'ajouter une remarque en évidence dans le journal comme quoi les mesures proposées sont controversées.
Mais ce n'est pas en lui rentrant dedans qu'on va le faire changer d'avis. Notre ami attend d'être convaincu.
Perso, si je me trompe et qu'on me rentre dedans en réponse, je vais devoir faire un gros effort pour ne pas juste me braquer, camper sur ma position, en mode défensif, au lieu de reconnaître que j'ai eu tort ou même écouter ce qu'on a à me dire. Beaucoup de gens ne vont pas faire cet effort, et ça produit une situation complètement improductive.
Zenitram, j'entends que tu n'attaques pas la personne mais le contenu, mais j'ai l'impression que ta manière de dire les choses braque régulièrement la personne en face et que ce n'est pas nécessaire.
Le problème avec ça, c'est que cette attitude risque de décourager les gens à participer sur LinuxFR. Je pense que rapido partait d'une volonté de partager en écrivant ce journal, ce serait dommage de lui faire regretter ça.
On gagnerait à mon avis beaucoup à énoncer calmement les avis ici. Je suis sûr qu'on peut se montrer bienveillant et quand même pointer les problèmes du doigt fermement.
[^] # Re: pas d'alias !
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à -5. Dernière modification le 06 août 2019 à 15:09.
C'est quoi le rapport ? Merci de garder tes remarques impertinentes pour toi.
[^] # Re: pas d'alias !
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 0. Dernière modification le 04 août 2019 à 23:40.
Zenitram, c'est vrai que ta façon de t'adresser à rapido n'est pas idéale.
Ce n'est pas en attaquant les gens que tu vas les convaincre. Ça n'a jamais tué personne de montrer un peu de respect et de sympathie. On est là pour apprendre, et d'ailleurs le journal finit par une question : "qu'en pensez vous ?". Je trouve que ça change un peu la perspective de lecture, et cela a donné lieu à une discussion intéressante qui me resservira probablement de référence à l'avenir, même si les conseils du journal restent problématiques en effet. Les lecteurs du journal devraient lire les commentaires.
Cela étant dit, en enlevant les attaques, le message est tout à fait pertinent.
Je ne connaissais pas l'hsts preloading. C'est intéressant. C'est dommage que ça soit centralisé, encore une fois géré par Google. Vivement qu'une solution basée sur une entrée DNS sorte.
[^] # Re: pas d'alias !
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 2.
Ce que je suggère, c'est de garder l'alias dans le DNS et de mettre en place une redirection avec Apache.
Sur un site que je gère, c'est WordPress qui se charge de la redirection.
[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 5. Dernière modification le 04 août 2019 à 15:16.
Ton article date de 2011. Je ne comprends pas le rapport avec Let's Encrypt. Comment ça, il y a trop d'argent en jeu ? N'importe qui peut obtenir un certificat Let's Encrypt gratuitement et le renouvellement s'automatise facilement. Avant Let's Encrypt, il y avait la possibilité d'obtenir un certificat gratuitement aussi. Pour les cas où Let's Encrypt n'est pas suffisant, en général on a les moyens de payer un certificat.
Bien sûr, tu peux toujours faire du person in the middle en HTTPS si tu as le pouvoir d'insérer un certificat chez le destinataire attaqué, mais:
En fait, c'est encore pire en HTTP : tu peux intercepter de façon complètement invisible. Alors qu'en HTTPS, il est encore en général possible de vérifier la provenance des certificats et donc détecter une attaque, sauf si vraiment ton navigateur te ment…
Honnêtement, aujourd'hui, je ne vois plus trop d'excuse à ne pas chiffrer, sauf cas vraiment spécifique… quel serait l'intérêt de déployer un site sans https aujourd'hui ?
[^] # Re: À la recherche du domaine perdu, la plaie des SEO
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 10. Dernière modification le 04 août 2019 à 14:56.
Pour réduire la charge de travail de l'équipe de modération de LinuxFR, je propose d'interdire les liens.
En effet, plus de lien ⇒ plus de lien cassé.
La preuve :
Règle 1 : il n'y a pas de lien.
Observation 1 : tous les liens cassé sont des liens (admise).
Supposons E un ensemble non vide de liens cassés.
Prenons L un lien cassé de cet ensemble.
L est un lien, d'après l'observation 1.
Donc, d'après la règle 1, L n'existe pas.
Contradiction : L est dans E, mais n'existe pas.
Absurde. □
Donc si on interdit les liens, plus de lien cassé.
[^] # Re: pas d'alias !
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 7. Dernière modification le 04 août 2019 à 14:36.
C'est pour les liens externes / partage de liens que ça importe. Tu pourrais te retrouver avec des doublons dans ton historique, aussi. Et quelle version devrait être indexée par les moteurs de recherche ?
Quelqu'un qui a visité example.org et aura téléchargé example.org/style.css et qui suit un lien www.example.org vas devoir retélécharger www.example.org/style.css alors que ce fichier est déjà dans son cache, et c'est dommage (ou pire, /le-dernier-framework-qui-fait-plusieurs-mega.js).
Pour moi, le mieux c'est un document = une URL (+ éventuellement les paramètres get quand c'est vraiment nécessaire).
(sauf dans les cas où plusieurs URLs pour un même site est une fonctionnalité, comme Sci-Hub par exemple)
Quel est l'intérêt de l'alias plutôt que la redirection ?
[^] # Re: pas d'alias !
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 8. Dernière modification le 04 août 2019 à 13:40.
Perso, je mettrais une redirection en place plutôt qu'un alias (de www.example.org vers example.org ou l'inverse). Sinon, c'est le bazar : deux URL sont valides pour un même contenu. Ça me semble plus propre d'avoir une URL unique. Ça pose aussi moins de problème de cache de ressources (css, javascript) et de cookies (dont le comportement peut certainement être tout à fait étrange entre un domaine et un sous-domaine).
Et en fait, je garderais l'URL principal en www.example.org, sinon tous les cookies de example.org seront envoyés sur les sous-domaines qu'on pourrait vouloir utiliser, or, parfois, on veut tout bien séparer. Parfois, c'est justement un comportement souhaité donc ça a du sens d'utiliser example.org en tant que site web principal dans ce cas. Il me semble que c'est surtout une question de goût et de besoins techniques spécifiques à voir selon les cas. Si on n'a qu'un site et pas (d'autres) sous-domaines, là j'imagine que la question est purement esthétique.
Sur les questions esthétiques, j'ai un argument en faveur et un argument en défaveur de
www.:Dans tous les cas, je pense que example.org et www.example.org devraient fonctionner et pointer sur le même site, parce qu'il y aura des gens qui ne taperont pas le
www., ou justement qui le taperont. Les gens s'attendent en général à tomber sur un site web dans les deux cas, et sur le même, même s'il y a des contre exemples.[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 2. Dernière modification le 04 août 2019 à 13:26.
Ce qui est d'ailleurs probable quand on suit des liens (tomber sur un site encore jamais visité).
[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 3. Dernière modification le 04 août 2019 à 11:20.
Je me disais aussi :-)
La situation me paraît improbable, la plupart des sites ne fonctionnent pas comme ça. Je pense qu'une meilleure solution serait une proposition du navigateur de consulter une page archivée du site.
D'ailleurs, l'extension View Page Archive & Cache est intéressante pour ça, elle ajoute une icône pour accéder aux archives d'une page cassée : https://addons.mozilla.org/fr/firefox/addon/view-page-archive/
[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 10.
C'est une idée séduisante, mais je pense surtout que ça devrait continuer se planter horriblement comme ça le fait aujourd'hui pour que la personne en charge du site soit pressée de régler le problème de sécurité de façon urgente.
Les visiteurs ne devrait pas être exposées "automatiquement" à une situation non sûre.
Le travail effectué pour mettre en place ce mécanisme automatique serait mieux utilisé à mettre en place un renouvellement automatique des certificats.
[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 2.
Yep :-) C'est ce qu'il me semble aussi.
[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 6. Dernière modification le 04 août 2019 à 10:10.
L'existence de cette faille a mené vers la création de l'entête https Strict-Transport-Security. Tout ça est très bien expliqué là : https://developer.mozilla.org/fr/docs/S%C3%A9curit%C3%A9/HTTP_Strict_Transport_Security
[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 8. Dernière modification le 04 août 2019 à 10:00.
Mais c'est toi qui dit que c'est le bon comportement "si c'est bien configuré". Beaucoup de sites redirigent les requêtes http vers https. Au hasard, google.fr, linuxfr.org, wikipedia.org… et la grosse majorité des sites maintenant. Tu veux dire que tous ces sites sont mal configurés ?
En cas de panne https, la redirection http → https mise en place (que ça soit bien configuré ou non, de toute façon c'est comme ça que les choses sont mises en place dans la nature), ne va pas magiquement cesser de fonctionner aussi dans la plupart des cas.
[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 10.
Mais si, parce que lors de la requête http, un attaquant peut mettre en place une redirection vers une page qui ressemble au site site, et là les gens vont s'identifier sur le faux site.
Même sans parler de redirection, l'attaquant peut aussi savoir :
On a aussi le cas du comportement que linuxfr.org a eu pendant longtemps : ne pas rediriger vers la version https du site. C'était pénible, tu suis un lien http et tu restes en http, alors que tu voudrais que les visites se fassent en https. Heureusement ce n'est plus le cas.
[^] # Re: http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 8.
Autre chose : en cas de panne https, si de toute façon la redirection http → https est faite, le lien sera quand même cassé même si tu pointes vers la version http, puisqu'elle va rediriger vers la version https cassée.
# www
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 10. Dernière modification le 04 août 2019 à 09:39.
C'est ton avis, et sur ce sujet tu trouveras de tout dans la nature. Je pense qu'on ne peut pas tirer de règle générale sur le sujet, alors je serais d'avis de respecter le choix du site cible et d'utiliser l'adresse que le site utilise. Si le site change et que les choses pour maintenir les liens sont bien faites, ce sont les anciennes adresses qui seront traitées, pas celles que tu auras devinées.
Si tu n'utilises pas l'adresse
www.alors que c'est ça qui est utilisé, tu vas forcer tes visiteurs à se payer une redirection. C'est lent et inefficace. Pourquoi les faire attendre ?# http / https
Posté par raphj (site web personnel) . En réponse au journal Écrire des liens pérennes dans ses pages web. Évalué à 10.
Je ne pense pas qu'il faut utiliser "http://" plutôt que "https://" par défaut.
Je vois le problème que tu cherches à résoudre, mais dans le cas "http://", le navigateur va être amené à faire une requête claire en http, qui peut être interceptée, espionnée et détournée, puis une seconde requête en https si tout se passe bien, donc c'est plus lent, moins efficace et moins sûr que tu https direct.
Si le site ne fonctionne temporairement pas en https, c'est une panne. C'est normal que ça ne fonctionne plus. Aussi, un https qui ne fonctionne pas ça peut être une attaque en cours. C'est conçu comme ça. Utiliser un lien en http volontairement, c'est désactiver les mesures de sécurité du site cible, ça ne me semble pas très responsable.
[^] # Re: Dépolluer 20 Minutes
Posté par raphj (site web personnel) . En réponse au lien En réponse à FaceApp, Greenpeace lance EarthApp qui nous montre la Terre dans quelques années. Évalué à 3. Dernière modification le 01 août 2019 à 13:54.
Je ne suis pas sûr que les campagnes de sensibilisation ont un impact négatif sur ces gens là.
Sans les campagnes : ils font leur vie comme ils l'entendent.
Avec les campagnes : ils font leur vie, sans rien changer, en raillant les campagnes, les messagers.
C'est même à ça qu'on les reconnaît…
Mais le mot-clé est là : c'est de la défense / protection.
« First they ignore you, then they laugh at you, then they fight you, then you win. »
[^] # Re: Fuzz
Posté par raphj (site web personnel) . En réponse au journal Doublez le volume sonore des appels sur un téléphone. Évalué à 1.
Ah ah :-D
https://www.youtube.com/watch?v=9OBnvpzb560
[^] # Re: Fuzz
Posté par raphj (site web personnel) . En réponse au journal Doublez le volume sonore des appels sur un téléphone. Évalué à 4. Dernière modification le 31 juillet 2019 à 14:46.
Je n’y avais pas pensé, c’est une bonne idée !
(tu suggères quel dentifrice ?)
[^] # Re: .
Posté par raphj (site web personnel) . En réponse au journal Comment occuper une soirée: mettre à jour son GPS. Évalué à 6. Dernière modification le 31 juillet 2019 à 14:09.
Oui :-)
Oui. J'utilise OsmAnd. Parfois on tombe à un endroit où les numéros ne sont pas mentionnés, mais les cartes sont globalement très bonnes.
La recherche est perfectible.
[^] # Re: Suis-je le seul...
Posté par raphj (site web personnel) . En réponse au lien En réponse à FaceApp, Greenpeace lance EarthApp qui nous montre la Terre dans quelques années. Évalué à 3. Dernière modification le 29 juillet 2019 à 14:32.
Je vais préciser : je ne me sens plus concerné « individuellement ».
Ce matin sur France Inter, on pouvait entendre Sébastien Bohler conseiller aux gens de faire de la méditation et de ne pas manger devant la télé (parce qu'on mange plus en faisant ça) pour sauver la planète. Ben voyons. On va inviter les grosses entreprises qui polluent à pratiquer la pleine conscience, pour voir si ça aide, tiens.
À mon échelle, je fais ce que je peux pour limiter mon impact environnemental mais maintenant, c'est clair que ça ne suffira pas et qu'il faut un changement de fond.
Ça serait une erreur de prendre la phrase que tu cites hors du contexte de mon message (et je ne dis pas que c'est ce que tu fais) : je me sens bien concerné par le problème, mais je répondais maladroitement à « ça me tape le système » en donnant une autre perspective à la campagne que la perspective individuelle présentée dans le message auquel je répondais. Bien sûr que c'est pénible qu'on nous fasse la morale, mais il ne s'agit pas que de ça.
Il va falloir justifier et préciser ça. De quoi tu parles ? C'est beaucoup trop vague. « La gauche » ? Quelle gauche ? « vieille manie » : tu as des exemples ? Et puis, tu as conscience de la force du mot harceler ? Je connais des gens qui ont été harcelés. Le harcèlement, ce n'est pas ça. Tu fais partie des gens qui disent qu'ils sont pris en otage quand il y a une grève ? J'espère que tu voteras surtout avec tes convictions, et que tu n'excuseras pas ton vote avec des justifications bancales. Pas besoin normalement, tu devrais assumer ton vote et tes positions de toute façon (sinon il faut en changer !).