Migration HTTPS ; protocole relatif ou non ?

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par saluts92, 30 Mars 2017.

  1. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    Bonjour,
    Google préconise l'utilisation de HTTPS pour nos sites depuis 2014

    De plus toutes les ressources externes présentes dans nos pages doivent être aussi sécurisées pour se voir bénéficier du petit cadenas vert à gauche de l'URL dans le navigateur.

    L'astuce serait de mettre les liens externes en protocole relatif :
    c'est à dire écrire href="//www.lienexterne.com/" au lieu de href="http://www.lienexterne.com/" ou href="https//www.lienexterne.com/"

    sachant que le lien se débrouille à trouver le bon protocle selon le site.

    Qu'en pensez vous ? Y a t-il des effets de bord ?

    Merci d'avance de vos remarques
     
  2. rick38

    rick38 WRInaute impliqué

    Inscrit:
    23 Février 2013
    Messages:
    536
    J'aime reçus:
    0
    Rien à voir, les liens "<a href" peuvent très bien être http.
     
  3. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 663
    J'aime reçus:
    2
    +1
    C'est les <script src>, <link href>, <img src>, bref les ressources (assets) ... pas les <a href>
     
  4. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    ok SPOUT

    j'ai également lu (tout et son contraire) que si le site ne disposait pas de protocole https, il ne fallait pas utiliser le protocole relatif.
    Est ce vrai ?
     
  5. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 663
    J'aime reçus:
    2
    On px voir la source de ces âneries ?
     
  6. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    pas noté

    donc c'est faux ?
     
  7. rick38

    rick38 WRInaute impliqué

    Inscrit:
    23 Février 2013
    Messages:
    536
    J'aime reçus:
    0
    donc c'est faux.

    // permet justement d'utiliser https s'il existe et sinon http, c'est le but.
     
  8. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 663
    J'aime reçus:
    2
  9. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    ok merci, mais qpourqsuoi ne peut on pas l'utiliser pour des <a href="... ?
     
  10. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    je me permets de relancer ma dernière question,

    pourquoi ne doit on pas l'utiliser pour des <a href="... ? alors que d'après mes tests cela fonctionne bien
     
  11. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 663
    J'aime reçus:
    2
    Parce que comme on t'as dit, c'est FAUX !

    Exemple: https://jsfiddle.net/a6yxdh6a/
    JSFiddle est en HTTPS, donc le lien (relatif au protocole courant) vers WRI ça donne -https://forum.webrankinfo.com/ (FAUX) et celui vers Google -https://www.google.be/
     
  12. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    précise ta pensée quand tu dis "c'est faux" : qu'est ce qui est FAUX ?

    En effet, tu m'avais dit
    "C'est les <script src>, <link href>, <img src>, bref les ressources (assets) ... pas les <a href>"

    tu me précisais bien que les <a href> n'était pas concerné par le protocole relatif, et maintenant tu me dis que c'est possible !! ?
     
  13. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 663
    J'aime reçus:
    2
    Si l'exemple JSFiddle montrant clairement ce qui est faux n'est pas assez parlant là je /surrender
     
  14. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    absolument pas, ce n'est pas ma question initiale qui était, peux t-on utiliser le protocole relatif (oui ou non ?) dans une balise lien :

    <a href="//www.mondomaine.com">...</a>

    dans ta première réponse tu disais que NON et maintenant tu semble dire OUI
     
  15. FortTrafic

    FortTrafic WRInaute passionné

    Inscrit:
    11 Décembre 2012
    Messages:
    1 440
    J'aime reçus:
    0
    reponse finale :
    oui on peut utiliser le protocole relatif dans une balise lien


    mais c'est NUL car :
    1. aucun intérêt (le cadenas vert ne dépend pas des balises liens)
    2. ca peut donner des liens merdiques comme https://forum.webrankinfo.com (clique dessus pour comprendre)
     
  16. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    ok forttrafic, mais si l'on met une URL sans protocole, ton cas n° 2 n'a plus lieu d'etre étant donné que le navigateur testera aussi le lien en HTTP donc pas de message d'erreur
     
  17. FortTrafic

    FortTrafic WRInaute passionné

    Inscrit:
    11 Décembre 2012
    Messages:
    1 440
    J'aime reçus:
    0
    Non, le // reprend le meme protocole que la page en cours, donc sur un site en https le lien va vers https cest tout, ca teste rien du tout.

    Cest au site final de rediriger le trafic https en http dans le .htaccess mais aucun le fait dans ce sens :)
     
  18. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    ah ok merci

    par contre ce comportement n'est vrai que pour les <a href> n'est ce pas ?

    pour les ressources ASSET (img, link, etc..) cela fonctionne bien meme si le htaccess n'est pas renseigné ?
     
  19. FortTrafic

    FortTrafic WRInaute passionné

    Inscrit:
    11 Décembre 2012
    Messages:
    1 440
    J'aime reçus:
    0
    pour les ressources, c'est pareil, mettre // sur ta page en https va appeler la ressource avec https://

    Si la ressource n'existe pas en https alors elle ne sera pas téléchargée, erreur 404.. (je ne suis pas sûr pour le code erreur)

    Si par contre le site qui héberge la ressource a une redirection https -> http dans son htaccess là je ne sais pas ce que ça va faire au niveau du cadenas vert de ta page...

    Est-ce qu'il y aura une alerte de sécurité ? J'imagine que oui mais je n'ai pas essayé.
     
  20. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    ce post tourne en rond

    ce que tu dis forttrafic est le contraire de spout qui disais "// permet justement d'utiliser https s'il existe et sinon http, c'est le but."
     
  21. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 663
    J'aime reçus:
    2
    C'est rick38 qui a dit ça.

    Qu'est-ce que tu ne comprends pas dans le mot: relatif ?
    Si tu es sur https://example.com, les liens relatifs: // pointent vers https://...
    Si tu es sur http://example.com, les liens relatifs: // pointent vers http://...

    Donc si tu l'utilises pour les <a href="//..."> vers les sites extérieurs, rien ne t'assures que le site extérieur aura ce protocole relatif actif/configuré, cfr. JSFiddle.
     
  22. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    c'est donc contraire à ce que tu avais dit au départ, c'est à dire :""// permet justement d'utiliser https s'il existe et sinon http, c'est le but."
     
  23. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 663
    J'aime reçus:
    2
    rick38 != spout
     
  24. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    ah oui c vrai

    mais en pratique, mes tests démontrent le contraire :
    j'appelle un lien n'existant pas en httpS depuis un site en httpS et au final le lien appelé s'affiche bien sans message d'erreur en http

    que faut donc t-il croire ? la théorie ou la pratique ?
     
  25. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 663
    J'aime reçus:
    2
    Montre nous tes tests ? JSFiddle, Codepen ou autre.
     
  26. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    a partir d'un code tout bete, que j'exécute depuis un site sécurisé en https

    Code:
    <a href="//www.toysrus.fr/">test</a>
    
     
  27. spout

    spout WRInaute accro

    Inscrit:
    14 Mai 2003
    Messages:
    8 663
    J'aime reçus:
    2
    Sur toysrus.fr il y a une redirection de https vers http, donc dans ce cas ça fonctionne.
    Par contre là non si tu es sur un site HTTPS: <a href="//forum.webrankinfo.com/">test</a>
     
  28. saluts92

    saluts92 WRInaute discret

    Inscrit:
    12 Avril 2006
    Messages:
    220
    J'aime reçus:
    0
    effectivement (je vais y arriver)

    donc en conclusion (merci de valider) : dans le cadre de construire une page full sécurisée (pour avoir le cadenas vert dans google chrome, entre autres) je ne vois aucun intéret à utiliser le protocole relatif pour des ressources externes.
    Autant tester ces liens, et mettre le protocole qui nous va bien dès le début.
     
  29. dd32

    dd32 WRInaute accro

    Inscrit:
    9 Septembre 2005
    Messages:
    3 380
    J'aime reçus:
    0
    Bonjour,

    Etant donné qu'on ne peut pas maîtriser l'évolution des protocoles des sites externes liés, en effet, c'est la conclusion à en tirer.
    Merci à tous pour vos éclairages sur le sujet.