Https obligatoire

50 réponses
AuteurMessage

Charlie | Charles
Membre

Photo de Charlie

Inscrit le : 07/06/2007

# Le 17/01/2017 à 12:52

preneur aussi si vous trouvez comment avoir le rapport xiti, simple & efficace

WEBFRANCEOuvrir dans une nouvelle fenetre - CommunautéOuvrir dans une nouvelle fenetre e-Business - AgenceOuvrir dans une nouvelle fenetre - JobsOuvrir dans une nouvelle fenetre

Zalex14 | Alexandre
Modérateur

Photo de Zalex14

Inscrit le : 09/05/2005

# Le 23/01/2017 à 17:17

Hello
Vous utilisez quoi comme outil pour détecter les pages de votre site qui auraient du mixed content ?

Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.

francois10 | Francois
Membre

 

Inscrit le : 14/05/2006

# Le 23/01/2017 à 17:49

IE et sa fameuse fonction "prendre un bon gros popup dans la tête en cas de mixed content" ^^

Zalex14 | Alexandre
Modérateur

Photo de Zalex14

Inscrit le : 09/05/2005

# Le 23/01/2017 à 17:54

Certainement très efficace, mais vu le nombre de pages à contrôler, je pensais plutôt à un outil de fainéant qui scanne tout le site, genre ça : https://www.jitbit.com/sslcheck/Ouvrir dans une nouvelle fenetre ... mais en mieux si vous avez

Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.

francois10 | Francois
Membre

 

Inscrit le : 14/05/2006

# Le 23/01/2017 à 19:11

D'une façon générale il n'y pas vraiment de source de problème pour le mixed content mis à part les régies publicitaires qui cascadent en RTB à travers n'importe quel network non https et là, mis à part ne pas bosser avec, pas de solution.

Zalex14 | Alexandre
Modérateur

Photo de Zalex14

Inscrit le : 09/05/2005

# Le 24/01/2017 à 10:20

Toi tu sais pas comment je développe
ma source de problème, c'est surtout moi, et les 15 années de d'évolution/rustines sur un site composé de centaines de pages php..

Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.

tonguide | Jeremy
Modérateur

 

Inscrit le : 09/05/2005

# Le 25/01/2017 à 00:56

Reçu en message sur WMT



À partir de janvier 2017, Chrome (version 56 et versions ultérieures) signalera les pages qui collectent des mots de passe ou des données de cartes de paiement comme n'étant pas sécurisées, sauf si ces pages utilisent le protocole HTTPS.
Les URL suivantes comprennent des champs de saisie de mots de passe ou de données de cartes de paiement qui déclencheront l'affichage du nouvel avertissement de Chrome. Passez en revue ces exemples pour savoir où ces avertissements s'afficheront, et prendre des mesures pour aider à protéger les données des utilisateurs. Cette liste n'est pas exhaustive.

Ce nouvel avertissement est la première étape d'un objectif à long terme consistant à signaler toutes les pages utilisant le protocole HTTP non chiffré comme n'étant pas sécurisées.
Pour résoudre ce problème :
Utilisez des pages HTTPS pour recueillir des informations sensibles
Pour éviter l'affichage de la notification "Non sécurisé" lorsque les utilisateurs de Chrome consultent votre site, déplacez les champs de saisie de mots de passe et de données de carte de paiement vers des pages utilisant le protocole HTTPS.

krucial | Jean Christophe
Administrateur

Photo de krucial

Inscrit le : 09/03/2005

# Le 25/01/2017 à 11:19

Question : si je place juste les formulaires en HTTPS, et non le site en entier, tout baigne ?

Genre, tu te loggues sur un formulaire https, puis, tu es redirigé vers une page non https, du moment que le mot de passe est crypté, tout baigne non ?

JC - Mes sitesOuvrir dans une nouvelle fenetre | Affiliation devis travauxOuvrir dans une nouvelle fenetre

devtribu | Olivier
Modérateur

Photo de devtribu

Inscrit le : 16/06/2005

# Le 25/01/2017 à 11:43

C'est déjà en place depuis hier sur Firefox 51

Il faut que le formulaire soit sur une page https avec un target en https
La difficulté est que la plupart des sites ont le formulaire de connexion sur l'intégralité des pages

source :
https://developers.google.com/web/updates/2016/10/...Ouvrir dans une nouvelle fenetre
"either use HTTPS for the entire site (ideal) or redirect the browser window to an HTTPS page containing the login form"

Application Win MobileOuvrir dans une nouvelle fenetre

Charlie | Charles
Membre

Photo de Charlie

Inscrit le : 07/06/2007

# Le 25/01/2017 à 13:28

Pour ceux qui ont fait la migration en https, avoir votre retour sur vos rankings google serait intéréssant merci ;)

WEBFRANCEOuvrir dans une nouvelle fenetre - CommunautéOuvrir dans une nouvelle fenetre e-Business - AgenceOuvrir dans une nouvelle fenetre - JobsOuvrir dans une nouvelle fenetre

tonguide | Jeremy
Modérateur

 

Inscrit le : 09/05/2005

# Le 25/01/2017 à 13:35

@krucial : oui c'est ça, sur le site qui a reçu l'alerte, le champ mot de passe était sur chaque page. J'ai pour le moment remplacé le formulaire par un lien vers la page d'identification, ça limite déjà l'alerte à uniquement la page d'identification.

schtroumpf | Arnaud
Modérateur

Photo de schtroumpf

Inscrit le : 05/04/2007

# Le 25/01/2017 à 14:02

Charlie a dit :
Pour ceux qui ont fait la migration en https, avoir votre retour sur vos rankings google serait intéréssant merci ;)


Difficile d'avoir des chiffres précis, car l'impact reste faible. Toujours est-il qu'avec de bonnes redirections 301, Google le digère très bien et rapidement (1 à 2 semaines). Pas vu de baisse sur mes sites en tous cas. Mais il faut juste changer le http en https, sans modifier le reste des urls, sinon, la prise en compte peut être plus aléatoire/longue.

Le seul problème que j'ai relevé vient de la mise à jour des résultats de Google Image : j'ai plein d'image qui ont été déclassées. Mais j'avais un peu foiré les redirections des images, sur l'un de mes sites dont Google Image est l'une des principales sources de trafic. Il récupère lentement ses positions depuis (2 mois).

Bref, pour résumer : avec les bonnes redirections, ça ne fait pas de mal, voire ça apporte un petit plus.

Arnaud

VisoterraOuvrir dans une nouvelle fenetre - VisofloraOuvrir dans une nouvelle fenetre - VisorandoOuvrir dans une nouvelle fenetre

Charlie | Charles
Membre

Photo de Charlie

Inscrit le : 07/06/2007

# Le 25/01/2017 à 14:05

Merci Arnaud de ton retour très positif ;)

WEBFRANCEOuvrir dans une nouvelle fenetre - CommunautéOuvrir dans une nouvelle fenetre e-Business - AgenceOuvrir dans une nouvelle fenetre - JobsOuvrir dans une nouvelle fenetre

Zalex14 | Alexandre
Modérateur

Photo de Zalex14

Inscrit le : 09/05/2005

# Le 27/01/2017 à 11:28

Je viens de tester chrome 56. Ça reste quand même discret le "Non sécurisé".
Je pensais qu'on allait avoir le même message qu'en cas de problème de sécurisation sous 55, en rouge et barré.

Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.

devtribu | Olivier
Modérateur

Photo de devtribu

Inscrit le : 16/06/2005

# Le 27/01/2017 à 14:12

Zalex14 a dit :
Je viens de tester chrome 56. Ça reste quand même discret le "Non sécurisé".
Je pensais qu'on allait avoir le même message qu'en cas de problème de sécurisation sous 55, en rouge et barré.


Tout a fait.

C'est bien plus visible sur Firefox 51, qui affiche le cadenas barré meme si les champs de login sont cachés

Application Win MobileOuvrir dans une nouvelle fenetre

krucial | Jean Christophe
Administrateur

Photo de krucial

Inscrit le : 09/03/2005

# Le 27/01/2017 à 15:24

Pour le moment, je vais faire un formulaire de login et d'inscription sur des pages dédiées HTTPS. Passer le forum en HTTPS ca va etre compliqué.

JC - Mes sitesOuvrir dans une nouvelle fenetre | Affiliation devis travauxOuvrir dans une nouvelle fenetre

tonguide | Jeremy
Modérateur

 

Inscrit le : 09/05/2005

# Le 27/01/2017 à 17:07

Le soucis c'est que Google, quand il voit un https, il veut passer tout le site en https par défaut. Du coup tu vas faire comment ? Rediriger en 301 les https en http ?

krucial | Jean Christophe
Administrateur

Photo de krucial

Inscrit le : 09/03/2005

# Le 30/01/2017 à 14:58

Dans un premier temps, peut etre, je ne sais pas.

JC - Mes sitesOuvrir dans une nouvelle fenetre | Affiliation devis travauxOuvrir dans une nouvelle fenetre

Salemioche | Nicolas
Membre

Photo de Salemioche

Inscrit le : 26/12/2008

# Le 30/01/2017 à 18:11

J'ai passé 6 sites depuis 15 jours en https

4 ont yoyoté un dans les serps pendant 1 semaine de ~j+3 à ~j+10
2 sont passés tous seul

5 prestashop et 1 sur mesure

Et alsacreations aussi, mais ça m'étonnerait qu'ils aient un quelconques suivis de positionnements

fun4fun | Pierre
Modérateur

Photo de fun4fun

Inscrit le : 14/12/2005

# Le 02/02/2017 à 15:38

Sinon solution très très sale, vous passez vos champs "password" en "text" (affiché en clair donc), le temps de migrer tout.

Pierre

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.

© MHN - Tous droits réservés | CNIL N°844440 | 11/12/2017 20:02:22 | Généré en 10.83ms | Contacts | Mentions légales |