HttpS ?

[Zecat]

Me vla avec sur les baskets un gros projet avec de la gestion de données sensibles ... et me vla parti dans une logique :

identifiant
mot de passe

classique ... Et je me souviens alors que ma baque, ou d'autre c'est httpS ... Et la un doute m'assaille.

le S en question recouvre quoi ? Juste une couche de codage supplémentaire en amont et sans impact sur le developpement du site ou dois je intéger ce S dès le debut du projet ?

Un petit débroussaillage me serait bien utile ...

 

[p0k3]

HttpS, c'est juste un certificat de sécurité que tu installes sur ton serveur ! Rien à voir avec le code !

 

[zeb]

Rien à voir avec le code !

A oui ? et les liens qu'il risque de produire ...

 

[Zecat]

Bon et si vous vous mettiez d'accord :mrgreen:

Ce que je lis entre les lignes :

1 - C'est effectivement une couche technique en amont du code et relativement independante
2 - Toutefois le code va devoir en tenir compte puisque les urls doivent être de la forme https://lesite.com/lapage.php. mais bon si dans le code il n'y a que des url courtes 'lapage.php' , ca doit devenir transparent non ?
3 - La ou c'est moins clair c'est l'impact sur le rewriting dans le ht acces ?
4 - Quid aussi de ce que va retourner $_SERVER["DOCUMENT_ROOT"] et quel effet de bord avec le S ?

Bref encore un peu confusioned sur le coup le chat :mrgreen:

 

[p0k3]

2 - Toutefois le code va devoir en tenir compte puisque les urls doivent être de la forme https://lesite.com/lapage.php. mais bon si dans le code il n'y a que des url courtes 'lapage.php' , ca doit devenir transparent non ?

Si tu utilises des URL relative ça ne devrait pas poser trop de problème

3 - La ou c'est moins clair c'est l'impact sur le rewriting dans le ht acces ?

En fait, le https indique juste au routeur de faire passer le flux de données par un autre port que le traditionnel port 80 ! En gros, quand tu tapes: http://monsite.com, ça passe par le port 80, et quand tu tapes https://monsite.com ça passe par un autre port.
Sur ton serveur, il faut que tu indiques que l'adresse de ton site c'est https://monsite.com, dans ton htaccess sur crée un URL rewritting qui transforme tous les http://monsite.com en https://monsite.com Après les règles restent les mêmes !

4 - Quid aussi de ce que va retourner $_SERVER["DOCUMENT_ROOT"] et quel effet de bord avec le S ?

il retournera https://monsite.com puisque c'est comme ça que tu l'auras configuré !

A oui ? et les liens qu'il risque de produire ...

S'il ne code aucun lien en dure (du genre : echo "http://monsite.com/" . $lapage ça ne pose pas de problème !

 

[Zecat]

S'il ne code aucun lien en dure (du genre : echo "http://monsite.com/" . $lapage ça ne pose pas de problème !

Merci pok, ca devient un peu plus clair ...

En fait je code mes liens ainsi :

echo ($param_http.$param_site."/" . $lapage);

avec des var initialisées en amont

$param_http='http://';
$param_site='www.monsite.com';

Donc adaptation pas trop compliquée à priori.

En ce qui concerne le htaccess, mon rewriting se limite a une sucession de :

RewriteRule ^page1-([a-zA-Z0-9-]+)\.php$ page1.php?zeparam=$1 [L]

En effet, que j'ai 1 2 ou 10 parametres a passer, je les concatene tous dans un seul parametre et ensuite en entrée de page il me suffit d'un explode pour recupérer tous les params ... Donc la aussi à priori ca doit pas compliquer la chose d'apres ce que tu expliques.

 

[p0k3]

Non, puisque ton URL rewritting ne prend que la fin de ton URL est pas le début

 

[Zecat]

Pour boucler la boucle :

1 - dans mon contexte d'info sensible, le S apporte quoi concrètempent ? Juste une sécurité technique accrue ? Et de rassurer les users qui voient un zouli "s" ?
2 - Le projet en question va être déployé dans un environnement de serveur dédié mais totalement infogéré (pas mon truc l'admin et le systeme, moi mon truc c'est les algo et le code ! on se refait pas). Donc le S ca se demande à qui ? à l'hebergeur ?

 

[p0k3]

1 - dans mon contexte d'info sensible, le S apporte quoi concrètempent ? Juste une sécurité technique accrue ? Et de rassurer les users qui voient un zouli "s" ?

Le s crypte c'est juste un truc qui dit : Vos données sont cryptées. En gros seul l'utilisateur et le serveur peuvent lire les informations qui transitent, impossible pour d'autres de les lire !

2 - Le projet en question va être déployé dans un environnement de serveur dédié mais totalement infogéré (pas mon truc l'admin et le systeme, moi mon truc c'est les algo et le code ! on se refait pas). Donc le S ca se demande à qui ? à l'hebergeur ?

Personnellement, j'ai du le mettre en place sur les serveurs de mon entreprise, il m'a suffit de les demander à un société on a demandé le certificat ici :
http://www.globalsign.fr/ssl/acheter-certificats-ssl/domain-ssl/achete ... n-ssl.html

Je pense que ça se demande à l'hébergeur !

 

[LeMulotNocturne]

Juste un truc à faire gaffe, c'est bête mais serveur mutualisé = pas de https.
C'est une contrainte du protocole, 1 certificat = 1 @ IP dédié.

 

[Zecat]

oui oui mais la pas de bleme ca sera serveur dedié impératif vu les volumétries et le trafic.

 

[zeb]

S'il ne code aucun lien en dure (du genre : echo "http://monsite.com/" . $lapage ça ne pose pas de problème !

Si cela peut en poser car un site est pas forcement full httpS. C'est surtout là qu'il faut faire attention où tu pointe. Mais bon a priori zecat est parti sur du full httpS donc pas de blême.

 

[Zecat]

heu non pas full ... il y a une partie publique sur le site (pour les non inscrits et les moteurs) et la partie privée elle integralement en https ...

La difficulté va être ou ?

Cas typique : un mec qui est connecté et va sur uen page publique : doit on prevoir cette page publique aussi en https ou le gars peut il alterner http et https au gre de sa navigation ?

 

[LeMulotNocturne]

Bah, faut juste que tu fasses gaffe à tes liens.
Le SSL (https) demande finalement assez peu de contraintes coté développement. Il faut juste que tu génères correctement tes liens :

en http://www.le-beau-site-de-zecat.fr pour la partie publique
en https://www.le-beau-site-de-zecat.fr/admin pour la partie privée.

par ailleurs, tu peux (tu dois !) spécifier dans la conf de ton vhost apache, une règle de redirection forcée pour la zone admin de http vers https (de manière à interdire l'accès en mode non SSL à ton admin). Je peux te retrouver la conf si besoin, je dois avoir ça en stock quelque part :wink:

 

[zeb]

La difficulté va être ou ?

bah a priori il y en a pas mais comme indiqué faut que tu sache partout sur le site où tu envoie. Bref chaque page doit clairement être identifiée et correspondre à une url http ou https (unique).

Si par exemple tu indique une FAQ publique dans la partie sécurisée faut pas que ce soit un lien en https, bien que techniquement tu puisse avoir une réponse sur les deux protocoles il est évident que le DC serait mortel et la sécurité illusoire.