Règle htaccess pour rediriger en https #5296

Open
opened 3 months ago by AmalricBzh · 5 comments

Bonsoir,

De plus en plus de navigateurs refusent ou affichent de gros avertissement si le protocole n'est pas sécurisé, et bien souvent pourtant HTTPS est dispo sur le serveur, c'est juste qu'on provient d'un lien http:// d'un autre site.

Je propose donc de mettre dans le .htaccess de SPIPS (peut-être commentées dans un premier temps) ces deux lignes qui redirigent tout le trafic http sur https :

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Bonsoir, De plus en plus de navigateurs refusent ou affichent de gros avertissement si le protocole n'est pas sécurisé, et bien souvent pourtant HTTPS est dispo sur le serveur, c'est juste qu'on provient d'un lien http:// d'un autre site. Je propose donc de mettre dans le .htaccess de SPIPS (peut-être commentées dans un premier temps) ces deux lignes qui redirigent tout le trafic http sur https : RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Tu peux pas imposer dans la dist de rediriger sur HTTPS alors que ça dépend totalement de l'hébergement + de la config DNS, ya pas forcément le HTTPS activé, donc tu peux rediriger que si t'es sûr et certain qu'il est là.

Après on peut montrer un exemple commenté en expliquant bien quand le mettre oui ça pourrait

Tu peux pas imposer dans la dist de rediriger sur HTTPS alors que ça dépend totalement de l'hébergement + de la config DNS, ya pas forcément le HTTPS activé, donc tu peux rediriger que si t'es sûr et certain qu'il est là. Après on peut montrer un exemple commenté en expliquant bien quand le mettre oui ça pourrait
Owner

D'autant plus qu'on n'a rarement du https en local, donc non.

Pour info, voici la recette que j'utilise pour ça https://seenthis.net/messages/907180

D'autant plus qu'on n'a rarement du https en local, donc non. Pour info, voici la recette que j'utilise pour ça https://seenthis.net/messages/907180
b_b added the
documentation
amélioration
labels 3 months ago
Poster

Bonjour,

Oui, c'est clair qu'on ne peut pas l'imposer, car cela dépend de l'hébergement. J'ai mal exprimé mon idée : on peut le mettre commenté pour l'exemple et pour inciter à sécuriser le site (beaucoup d'utilisateurs de CMS ne sont pas très techniques ni sensibilisés à la sécurité). Il faut le voir comme une simple suggestion didactique.

Bonjour, Oui, c'est clair qu'on ne peut pas l'imposer, car cela dépend de l'hébergement. J'ai mal exprimé mon idée : on peut le mettre commenté pour l'exemple et pour inciter à sécuriser le site (beaucoup d'utilisateurs de CMS ne sont pas très techniques ni sensibilisés à la sécurité). Il faut le voir comme une simple suggestion didactique.
Owner

Pourquoi pas, mais je ne suis pas certain que ça soit à SPIP de donner tous les exmples possibles dans son htaccess par défaut, d'autant plus que certaines règles passent chez un hébergeur et pas chez l'autre. D'autres avis ?

Pourquoi pas, mais je ne suis pas certain que ça soit à SPIP de donner tous les exmples possibles dans son htaccess par défaut, d'autant plus que certaines règles passent chez un hébergeur et pas chez l'autre. D'autres avis ?

Ca part d'une bonne intention mais en effet la config nécessaire d'un hébergeur à l'autre peut varier. Pas sûr que ça simplifie les choses pour les utilisateurs qui devraient plutôt se tourner vers la doc de leur hébergeur.
Pour info voilà la config de H5bp : 06df209e2e/dist/.htaccess (L305)

Ca part d'une bonne intention mais en effet la config nécessaire d'un hébergeur à l'autre peut varier. Pas sûr que ça simplifie les choses pour les utilisateurs qui devraient plutôt se tourner vers la doc de leur hébergeur. Pour info voilà la config de H5bp : https://github.com/h5bp/server-configs-apache/blob/06df209e2e24832124e09f4f88d4bf4cf1cf4d38/dist/.htaccess#L305
Sign in to join this conversation.
No Milestone
No project
No Assignees
4 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.