Google voudrait rendre le HTTPS obligatoire
- Auteur de la discussion gesud
- Date de début
-
- Tags
- https passage à https
Re: Google voudrai rendre le 'https' obligatoire
http://rankseo.fr/actualite-des-moteurs/https-bientot-obligatoire-t1861.html
Ça te parait sérieux ?
http://rankseo.fr/actualite-des-moteurs/https-bientot-obligatoire-t1861.html
Ça te parait sérieux ?
Re: Google voudrai rendre le 'https' obligatoire
Ça parait sérieux surtout que Google encourage la pratique du tout sécurisé. C’est qu’il en bave le bougre avec les attaques informatiques.
Maintenant, l’échec ou la réussite de l’opération "https" réside sur l’adhésion ou non du plus grand nombre.
La véritable source.
Ça parait sérieux surtout que Google encourage la pratique du tout sécurisé. C’est qu’il en bave le bougre avec les attaques informatiques.
Maintenant, l’échec ou la réussite de l’opération "https" réside sur l’adhésion ou non du plus grand nombre.
La véritable source.
WRInaute accro
Re: Google voudrai rendre le 'https' obligatoire
Je sais pas si les gens se rendent compte du coût que cela représente .... Je ne parle pas de prix d'un certif serveur mais du coût carbone que ça représente pour avoir le blog de Tartempion en sécurisé :roll:
on nage en plein délire ...
Je sais pas si les gens se rendent compte du coût que cela représente .... Je ne parle pas de prix d'un certif serveur mais du coût carbone que ça représente pour avoir le blog de Tartempion en sécurisé :roll:
on nage en plein délire ...
WRInaute accro
Re: Google voudrai rendre le 'https' obligatoire
C'est Google "sur Chrome" pas Google dans les serps
Et c'est une proposition pour que ça soit généralisé...
C'est Google "sur Chrome" pas Google dans les serps
Et c'est une proposition pour que ça soit généralisé...
Re: Google voudrai rendre le 'https' obligatoire
Si je comprend bien ce n’est plus qu'un question de temps avant que le http soit considéré comme le pestiféré du net? Parce que Mr google l'a décidé...
Bientôt il faudra passer par google pour obtenir un certificat et ensuite il faudra avoir son site hébergé chez eux!
Je me demande aussi si ce nouveau critère de positionnements (le https) ne les arrangent pas dans la mesure ou ils ne savent plus vraiment quoi faire avec les BL, avec le contenu. Ils espèrent qu'avec le https ils vont pouvoir faire ressortir la crème de la crème et arriver à obtenir des serps de meilleur qualité...
Quoi qu'il en soit quand on est sur mutualisé c’est déjà pas forcément des plus simples pour passer en https (même sur dédié d'ailleurs) en fonction de l'hébergeur, mais avoir un site va vite devenir un véritable luxe, entre le prix de l'hébergement et de ces foutus certificats.
Je ne comprend même pas que la norme https ne soit pas celle par défaut sur le net, que ça ne soit pas gratuit ou du moins directement compris avec toutes les offres d'hébergements.
Et il me semblait avoir lu que le https posait problème avec adsense, si c’est le cas, de qui se moque t-on!
Si je comprend bien ce n’est plus qu'un question de temps avant que le http soit considéré comme le pestiféré du net? Parce que Mr google l'a décidé...
Bientôt il faudra passer par google pour obtenir un certificat et ensuite il faudra avoir son site hébergé chez eux!
Je me demande aussi si ce nouveau critère de positionnements (le https) ne les arrangent pas dans la mesure ou ils ne savent plus vraiment quoi faire avec les BL, avec le contenu. Ils espèrent qu'avec le https ils vont pouvoir faire ressortir la crème de la crème et arriver à obtenir des serps de meilleur qualité...
Quoi qu'il en soit quand on est sur mutualisé c’est déjà pas forcément des plus simples pour passer en https (même sur dédié d'ailleurs) en fonction de l'hébergeur, mais avoir un site va vite devenir un véritable luxe, entre le prix de l'hébergement et de ces foutus certificats.
Je ne comprend même pas que la norme https ne soit pas celle par défaut sur le net, que ça ne soit pas gratuit ou du moins directement compris avec toutes les offres d'hébergements.
Et il me semblait avoir lu que le https posait problème avec adsense, si c’est le cas, de qui se moque t-on!
Re: Google voudrai rendre le 'https' obligatoire
en même temps, c'est gg serp qui "demande" cela.
google adsense dit tout le contraire.
intérêt du https : pouvoir reconnaitre les réseaux de site (surtout en mfa), enfin pas à partir des certificats ssl basiques, mais de ceux certifiant l'entreprise derrière le ndd.
inconvénient : à ce qu'il me semble, tu dois avoir ton reverse ip qui renvoie sur ton ndd. Ca veut dire qu'il te faut une ip différente par ndd https ! ça fait beaucoup, non ?
inconvénient : sur un site https, si tu lies des sites http dans ta page, un beau point d'exclamation s'affiche. Ca fait peur à l'internaute. Et entre les scripts js externes, les images externes, etc... les raisons d'avoir des lien http dans ton code son très nombreuses
en même temps, c'est gg serp qui "demande" cela.
google adsense dit tout le contraire.
intérêt du https : pouvoir reconnaitre les réseaux de site (surtout en mfa), enfin pas à partir des certificats ssl basiques, mais de ceux certifiant l'entreprise derrière le ndd.
inconvénient : à ce qu'il me semble, tu dois avoir ton reverse ip qui renvoie sur ton ndd. Ca veut dire qu'il te faut une ip différente par ndd https ! ça fait beaucoup, non ?
inconvénient : sur un site https, si tu lies des sites http dans ta page, un beau point d'exclamation s'affiche. Ca fait peur à l'internaute. Et entre les scripts js externes, les images externes, etc... les raisons d'avoir des lien http dans ton code son très nombreuses
Re: Google voudrai rendre le 'https' obligatoire
Oui mais sachant que Chrome c'est environ 50% des browsers, si Google décide de balancer une page d'alerte en pop-up pour les sites en http comme il fait pour les sites "dangereux"...
Quant à la question du coup, il y a l'EFF qui se propose d'offrir gratuitement un certificat https/ssl à tous les serveurs en 2015. Source
Marie-Aude a dit:
Oui mais sachant que Chrome c'est environ 50% des browsers, si Google décide de balancer une page d'alerte en pop-up pour les sites en http comme il fait pour les sites "dangereux"...
Quant à la question du coup, il y a l'EFF qui se propose d'offrir gratuitement un certificat https/ssl à tous les serveurs en 2015. Source
Re: Google voudrai rendre le 'https' obligatoire
Leonick : Sur un site https, le fait de faire des ahref sur des sites externes http posent ce type de problème? je suis un peu étonné, il me semblait que c'était uniquement les <script> ou les liens internes en http.
Sinon j'ai lu que HTTP/2 devrait bientôt être mis en place officiellement (2015), avez vous des infos la dessus?
Il ne serait pas impossible que cette nouvelle mouture du protocole chiffre les données?
D'autres sur la toile disent que pour du http on resterait sur http/1.1 et pour du https on serait sur du http/2
en https il n'y a aucun soucis avec le script de google analytics et adsense?
Pour adsense en asynchrone j'ai bien ceci :
Par conséquent ca va utiliser le protocole https?
et pour analytics, c’est https qui est utilisé, donc pas de soucis également :
je serais tenté sur mes futurs projets de passer directement au https, d'autant plus qu'OVH le propose a nouveau pour ses offres mutualisés a 50€/an, je crains par contre qu'ils fassent comme en 2012 lorsqu'ils avaient stoppé le SSL.
Leonick : Sur un site https, le fait de faire des ahref sur des sites externes http posent ce type de problème? je suis un peu étonné, il me semblait que c'était uniquement les <script> ou les liens internes en http.
Sinon j'ai lu que HTTP/2 devrait bientôt être mis en place officiellement (2015), avez vous des infos la dessus?
Il ne serait pas impossible que cette nouvelle mouture du protocole chiffre les données?
D'autres sur la toile disent que pour du http on resterait sur http/1.1 et pour du https on serait sur du http/2
en https il n'y a aucun soucis avec le script de google analytics et adsense?
Pour adsense en asynchrone j'ai bien ceci :
Code:
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>Par conséquent ca va utiliser le protocole https?
et pour analytics, c’est https qui est utilisé, donc pas de soucis également :
Code:
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';je serais tenté sur mes futurs projets de passer directement au https, d'autant plus qu'OVH le propose a nouveau pour ses offres mutualisés a 50€/an, je crains par contre qu'ils fassent comme en 2012 lorsqu'ils avaient stoppé le SSL.
Re: Google voudrai rendre le 'https' obligatoire
Le taux d'adhésion est faible pour le moment, mais depuis l'annonce de l'impact du https pour le positionnement, ça bouge sur la toile. La donne pourrait vite changer. Ca expliquerait pourquoi OVH propose a nouveau le SSL pour les mutualisés.
Il est clair que rendre obligatoire le https maintenant serait prématuré, mais dans 2-3 ans ça ne serait pas inenvisageable.
Quoi qu'il en soit pour le moment il y a énormément de gros sites qui sont toujours en http et qui ne prendront peut être pas le risque de passer au https. Webrankinfo par exemple? :mrgreen:
Je trouve que c’est encore actuellement trop complexe et chère de passer en https, tout le net n’est pas encore préparer à ça. Mais au tout chiffré, on y viendra forcément pour des raisons de sécurité évidentes.
zeb a dit:
Le taux d'adhésion est faible pour le moment, mais depuis l'annonce de l'impact du https pour le positionnement, ça bouge sur la toile. La donne pourrait vite changer. Ca expliquerait pourquoi OVH propose a nouveau le SSL pour les mutualisés.
Il est clair que rendre obligatoire le https maintenant serait prématuré, mais dans 2-3 ans ça ne serait pas inenvisageable.
Quoi qu'il en soit pour le moment il y a énormément de gros sites qui sont toujours en http et qui ne prendront peut être pas le risque de passer au https. Webrankinfo par exemple? :mrgreen:
Je trouve que c’est encore actuellement trop complexe et chère de passer en https, tout le net n’est pas encore préparer à ça. Mais au tout chiffré, on y viendra forcément pour des raisons de sécurité évidentes.
WRInaute accro
Re: Google voudrai rendre le 'https' obligatoire
:wink:
Non la sécurité est un faut argument car justement le https existe depuis longtemps et les services sensibles y ont déjà recours ... Bref si tu écarte ces cas qui sont déjà traités sur la toile le reste n'est que du pure pipo commercial.
C'est fou comme j'ai besoin d'httpS sur WRI :roll: Mon dieu on pourrait me gauler mon mot de passe et démasquer ma véritable identiténoren a dit:
:wink: Non la sécurité est un faut argument car justement le https existe depuis longtemps et les services sensibles y ont déjà recours ... Bref si tu écarte ces cas qui sont déjà traités sur la toile le reste n'est que du pure pipo commercial.
Bah les gros moutons qui feraient la courbette pour gagner un centième de place dans les SERPs ça manque pas ici ... a côté de ça ils sont pas foutu de coder un truc propre sans empiler 300 couches de logiciel open source ... Bref
Re: Google voudrai rendre le 'https' obligatoire
Je n'ai pas encore mis en ligne mes nouveaux projets et je pense logique de me poser la question (voir d'envisager le https) sans me considérer comme un mouton. :wink:
Dois je risquer d'avoir a passer en https pour une raison X ou Y, lorsque les sites seront déjà bien ancrés sur le net?
Mais effectivement je ne m'aventurais pas (en tout cas pas maintenant) à un tel changement pour mes vieux sites.
Je pars du postulat que le https devrait fortement s'imposer et que les sites en http risquent, comme le présente ce topic, d'être pointés du doigt
Doit-on rester en http parce qu'on considère que le https n'est pas utile pour une simple connexion de membre, par rébellion et/ou par conviction. Ou doit-on suivre ce qui risque (difficile d'en être certain) d'être l'avenir du web. Peut-on vraiment critiquer l'idée d'un web "sécurisé", peu importe si les données qui circulent sont importantes ou non.
Si on y réfléchit, sur le net on est jamais trop prudent, les techniques de vols, hacks, piratages s'améliorent sans cesse (le haut débit n'a pas amélioré les choses). Un simple vol de mot de passe même sur WRI peut avoir de lourdes conséquences si l'internaute utilise le même ailleurs. Certes c’est à l'internaute de ne pas être c*n, mais tous n'ont pas conscience des risques.
On bosse déjà dure in-site niveau sécurité (injection, cryptage de mots de passe etc.) pourquoi négliger le protocole de communication.
Le problème vient juste du fait qu'actuellement passer en https c’est lourd et chère et qu'on veuille essayer de nous l'imposer. Alors qu'il serait tout simplement plus logique de chiffrer directement les paquets transmis avec le protocole HTTP (et qu'on n'est pas à ce soucier de ça de notre côté). Je n'ai d'ailleurs pas compris si ça allait être le cas avec le http/2 qui devrait s'imposer bientôt normalement. Quand on voit que http actuelle (1.1) n'a pratiquement pas évolué depuis plus de 20 ans... alors que le web a fait un bon monumental.
Actuellement on peut juste pester sur le fait que ça soit GG qui essaye de nous l'imposer et qu'on doit passer à la caisse. Et vu sa position dominante, ce que google veut, les proprios font. Des moutons ou des proprios qui ne veulent juste pas se trouver à la traine?
Et lorsque (si) les sites en http seront minoritaires, ils ne seront plus noyés dans la masse et seront donc plus facilement la cible de personnes mal intentionnées.
En fin de compte c'est un peu le même problème que : site mobile ou responsive. En terme de décision.
Je n'ai pas encore mis en ligne mes nouveaux projets et je pense logique de me poser la question (voir d'envisager le https) sans me considérer comme un mouton. :wink:
Dois je risquer d'avoir a passer en https pour une raison X ou Y, lorsque les sites seront déjà bien ancrés sur le net?
Mais effectivement je ne m'aventurais pas (en tout cas pas maintenant) à un tel changement pour mes vieux sites.
Je pars du postulat que le https devrait fortement s'imposer et que les sites en http risquent, comme le présente ce topic, d'être pointés du doigt
Doit-on rester en http parce qu'on considère que le https n'est pas utile pour une simple connexion de membre, par rébellion et/ou par conviction. Ou doit-on suivre ce qui risque (difficile d'en être certain) d'être l'avenir du web. Peut-on vraiment critiquer l'idée d'un web "sécurisé", peu importe si les données qui circulent sont importantes ou non.
Si on y réfléchit, sur le net on est jamais trop prudent, les techniques de vols, hacks, piratages s'améliorent sans cesse (le haut débit n'a pas amélioré les choses). Un simple vol de mot de passe même sur WRI peut avoir de lourdes conséquences si l'internaute utilise le même ailleurs. Certes c’est à l'internaute de ne pas être c*n, mais tous n'ont pas conscience des risques.
On bosse déjà dure in-site niveau sécurité (injection, cryptage de mots de passe etc.) pourquoi négliger le protocole de communication.
Le problème vient juste du fait qu'actuellement passer en https c’est lourd et chère et qu'on veuille essayer de nous l'imposer. Alors qu'il serait tout simplement plus logique de chiffrer directement les paquets transmis avec le protocole HTTP (et qu'on n'est pas à ce soucier de ça de notre côté). Je n'ai d'ailleurs pas compris si ça allait être le cas avec le http/2 qui devrait s'imposer bientôt normalement. Quand on voit que http actuelle (1.1) n'a pratiquement pas évolué depuis plus de 20 ans... alors que le web a fait un bon monumental.
Actuellement on peut juste pester sur le fait que ça soit GG qui essaye de nous l'imposer et qu'on doit passer à la caisse. Et vu sa position dominante, ce que google veut, les proprios font. Des moutons ou des proprios qui ne veulent juste pas se trouver à la traine?
Et lorsque (si) les sites en http seront minoritaires, ils ne seront plus noyés dans la masse et seront donc plus facilement la cible de personnes mal intentionnées.
En fin de compte c'est un peu le même problème que : site mobile ou responsive. En terme de décision.
Re: Google voudrai rendre le 'https' obligatoire
j'ai donc un transport sécurisé :roll:
et quand on voit le piratage de sony, du cloud, etc..., pourtant pour certains en https :?
un internaute lambda, qui arrive sur wri via les serp, mais n'est pas un wrinaute, a-t-il réellement besoin d'avoir une connexion sécurisée ?
là, ggbot indique il faut du https et gg adsense dit, pas de https, sinon vous n'aurez quasi aucune campagne sur vos sites :wink:
euh, https et web sécurisé ne sont pas obligatoirement liés : https c'est je transporte les autorisations de prélèvements de mes clients par camion blindé. Sauf qu'après, je les stocke dans un simple hangar, sans société de gardiennage, car ça coûte trop cher.noren a dit:
j'ai donc un transport sécurisé :roll:
et quand on voit le piratage de sony, du cloud, etc..., pourtant pour certains en https :?
un internaute lambda, qui arrive sur wri via les serp, mais n'est pas un wrinaute, a-t-il réellement besoin d'avoir une connexion sécurisée ?
exactement : gg promeut le site responsive, car il n'aura qu'un site à crawler pour ses serp et, dans le même temps, a une version desktop et une version mobile pour ses serp. En plus, avec du css/js directement dans le html :roll:noren a dit:
là, ggbot indique il faut du https et gg adsense dit, pas de https, sinon vous n'aurez quasi aucune campagne sur vos sites :wink:
Re: Google voudrai rendre le 'https' obligatoire
@Leonick : Quand je parle ici de web sécurisé je parle évidemment au niveau transport (vu que c’est le sujet du topic)
je fais bien la distinction entre la sécurité en interne et celle au niveau du transport. :wink:
Voir ma phrase :
Sous prétexte qu'il est difficile d'avoir une sécurité in-site sans aucun trou faut-il pour autant négliger celle du transport?
Quand on a un espace membre on essaye généralement de faire le nécessaire pour crypter les mots de passe, éviter les injections sql etc. alors pourquoi se fo*tre du fait que ces mêmes mots de passe transitent non cryptés?
Sur WRI il y a des internautes lambda mais également un espace membre. Donc mots de passe , donc données potentiellement sensibles.
Perso moi aussi sur mes nouveaux projets je vais avoir des espaces membres et si il n'y avait pas eu cette annonce de GG je partirais surement sur du http. Non pas parce que je pense que le https ne se justifie pas mais parce qu'actuellement le https n’est pas donné a tout le monde techniquement et financièrement.
Si google arrive à s'imposer pour le https, adsense suivra. Google risque de ne pas lâcher cette affaire de si tôt. Et on sait également que leurs annonces à un impact important sur le web. Suffit de voir l'impact des Pingouins et autre Panda.
Je repose donc la question faut-il se moquer de cette annonce en restant en http au risque de voir le https prendre le dessus, être perçu comme un site non sécurisé sur la toile et être vu comme des pestiférés?
Actuellement avec de telles annonces on se retrouve avec une décision délicate à prendre lorsqu'on doit sortir de nouveaux sites. Faut-il en profiter pour passer de suite en https ou non?
Pour les anciens sites c’est différent. Là je rejoint Zeb, sur le fait que beaucoup se sont précipités alors qu'ils avaient la possibilité de voir comment les choses aller évoluer.
@Leonick : Quand je parle ici de web sécurisé je parle évidemment au niveau transport (vu que c’est le sujet du topic)
je fais bien la distinction entre la sécurité en interne et celle au niveau du transport. :wink:
Voir ma phrase :
Sous prétexte qu'il est difficile d'avoir une sécurité in-site sans aucun trou faut-il pour autant négliger celle du transport?
Quand on a un espace membre on essaye généralement de faire le nécessaire pour crypter les mots de passe, éviter les injections sql etc. alors pourquoi se fo*tre du fait que ces mêmes mots de passe transitent non cryptés?
Sur WRI il y a des internautes lambda mais également un espace membre. Donc mots de passe , donc données potentiellement sensibles.
Perso moi aussi sur mes nouveaux projets je vais avoir des espaces membres et si il n'y avait pas eu cette annonce de GG je partirais surement sur du http. Non pas parce que je pense que le https ne se justifie pas mais parce qu'actuellement le https n’est pas donné a tout le monde techniquement et financièrement.
Si google arrive à s'imposer pour le https, adsense suivra. Google risque de ne pas lâcher cette affaire de si tôt. Et on sait également que leurs annonces à un impact important sur le web. Suffit de voir l'impact des Pingouins et autre Panda.
Je repose donc la question faut-il se moquer de cette annonce en restant en http au risque de voir le https prendre le dessus, être perçu comme un site non sécurisé sur la toile et être vu comme des pestiférés?
Actuellement avec de telles annonces on se retrouve avec une décision délicate à prendre lorsqu'on doit sortir de nouveaux sites. Faut-il en profiter pour passer de suite en https ou non?
Pour les anciens sites c’est différent. Là je rejoint Zeb, sur le fait que beaucoup se sont précipités alors qu'ils avaient la possibilité de voir comment les choses aller évoluer.
WRInaute accro
Re: Google voudrai rendre le 'https' obligatoire
Parce ce que ce qui n'est pas https en ce moment ne représente pas un chalenge utile.
Car la plupart des attaques de compte se font par brute force sur un dico d'une centaine de pass archi connus.
etc ... etc ...
C'est bidon (je le répète sans méchanceté) car la faille est a 95% l'utilisateur et que quand la sécurité est necessaire on vire justement l’utilisateur de l'équation (mot de passe imposé et changé souvent, liaison sécurisée, non exposition sur le net, ...).
La en l'espèce faire penser qu'une liaison https va sécuriser le net est du grand n’importe quoi de la part de GG. Tu ne stoppera pas un gars déterminé avec ça et les br4nl€urs qui se racontent leur vie sur les fofo de hacker ont pas le niveau de mettre à genoux un site sérieux. Au mieux ils vont choper un compte Facebook a tante ginette avec un pass '1234'.
De plus, chopper une info sensible est beaucoup plus simple avec des moyens détournés et humains que technologiques.
Et je te passe la panoplie de base du style keylogger, trojan etc ... qui te dispense totalement de te prendre la tête a écouter le trafic ou de casser du cryptage.
Car un gars qui est capable de renifler le trafic IP pour choper un MdP en clair il est aussi capable de casser ton trafic crypté.noren a dit:
Parce ce que ce qui n'est pas https en ce moment ne représente pas un chalenge utile.
Car la plupart des attaques de compte se font par brute force sur un dico d'une centaine de pass archi connus.
etc ... etc ...
C'est bidon (je le répète sans méchanceté) car la faille est a 95% l'utilisateur et que quand la sécurité est necessaire on vire justement l’utilisateur de l'équation (mot de passe imposé et changé souvent, liaison sécurisée, non exposition sur le net, ...).
La en l'espèce faire penser qu'une liaison https va sécuriser le net est du grand n’importe quoi de la part de GG. Tu ne stoppera pas un gars déterminé avec ça et les br4nl€urs qui se racontent leur vie sur les fofo de hacker ont pas le niveau de mettre à genoux un site sérieux. Au mieux ils vont choper un compte Facebook a tante ginette avec un pass '1234'.
De plus, chopper une info sensible est beaucoup plus simple avec des moyens détournés et humains que technologiques.
Et je te passe la panoplie de base du style keylogger, trojan etc ... qui te dispense totalement de te prendre la tête a écouter le trafic ou de casser du cryptage.
Re: Google voudrai rendre le 'https' obligatoire
sans oublier le MITM :wink:
oui, mais quelle est la proportion de visiteurs lambda par rapport aux wrinautes ? su r l'essentiel des sites, genre le site plaquette d'une petite entreprise, quel est l'intérêt d'avoir un trafic https ? pourquoi lemonde.fr, amazon, etc... sont restés en http sur la partie internautes lambda ? car, en fait, seule la partie dans laquelle transitent des infos confidentielles a un réel intérêt à être chiffrée. Le chiffrage complet demande des ressources à la fois au niveau du serveur, mais aussi au niveau du navigateur, sans compter que, je pense, le trafic chiffré doit avoir un taux de compression plus faible, donc plus de données à circuler dans les tuyaux, pas de possibilité pour un FAI d'avoir un cache de données statiques, etc...noren a dit:
euh, ben non, adsense s'adapte à ses clients : va-t-il refuser des annonceurs sous prétexte qu'ils ne lui donnent pas de lien https :roll:noren a dit:
sans oublier le MITM :wink:
WRInaute passionné
Re: Google voudrai rendre le 'https' obligatoire
D'un autre côté, on se doute qu'aucun petit site ne passera en https (ne serait qu'en raison du coût d'un certificat), et Chrome afficherait dans 95% (ou tout autre chiffre proche de 100 finalement) des fois un message alerte??? :roll:
Je me demandais justement si en httpS, on pouvait encore avoir un serveur statique : si non (ce que je pense), le temps de chargement des pages n'est plus aussi optimisé = plus lent = du moins pour le SEO... Est-ce que le petit gain offert par GG au httpS va compenser la "pénalité" due au ralentissement?Leonick a dit:
D'un autre côté, on se doute qu'aucun petit site ne passera en https (ne serait qu'en raison du coût d'un certificat), et Chrome afficherait dans 95% (ou tout autre chiffre proche de 100 finalement) des fois un message alerte??? :roll:
WRInaute accro
Re: Google voudrai rendre le 'https' obligatoire
Sans compter que demains ça va être les cookies signé indispensable, les cables réseaux avec cadenas anti efraction, présentation rétinienne pour allumer le navigateur, obligation de passer par les proxy de la CIA, interdiction de transiter sur un réseau musulman ... et les culottes de ma grand mère aussi ?
+1000 c'était le sens de ma remarque ici ou sur un autre sujet au niveau du coût carbone on nage en plein délire mytho avec cette histoire :roll:Leonick a dit:
Sans compter que demains ça va être les cookies signé indispensable, les cables réseaux avec cadenas anti efraction, présentation rétinienne pour allumer le navigateur, obligation de passer par les proxy de la CIA, interdiction de transiter sur un réseau musulman ... et les culottes de ma grand mère aussi ?
Si je comprend bien, en règle général les risques de se voir voler nos données qui transitent sont quasi nul pour un site n'ayant pas de données importantes (banque etc.)?
Je n'ai strictement aucune idée de la difficulté pour intercepter ces données (via sniffers ou autres méthodes)
Il me semblait maintenant qu'avec le wifi et des logiciels sniffers ça n'était pas (ou plus) aussi complexe :/
Avec le wifi et leur longue portée, tous les lieux publics proposant le wifi, les risquent augmentent?
De toute façon même si les risques en restant en http sont minimes, le problème est actuellement ailleurs. Que faire si google arrive à s'imposer pour le https? Qu'on trouve ça ridicule ou non, quelque part on aura pas le choix. Et que faire actuellement lorsqu'on crée de nouveaux sites? Que conseillerez vous?
Je n'ai strictement aucune idée de la difficulté pour intercepter ces données (via sniffers ou autres méthodes)
Il me semblait maintenant qu'avec le wifi et des logiciels sniffers ça n'était pas (ou plus) aussi complexe :/
Avec le wifi et leur longue portée, tous les lieux publics proposant le wifi, les risquent augmentent?
De toute façon même si les risques en restant en http sont minimes, le problème est actuellement ailleurs. Que faire si google arrive à s'imposer pour le https? Qu'on trouve ça ridicule ou non, quelque part on aura pas le choix. Et que faire actuellement lorsqu'on crée de nouveaux sites? Que conseillerez vous?
Re: Google voudrai rendre le 'https' obligatoire
C’est peut être c*ns, mais les techniques de piratages évoluent, il parait donc logique que les moyens pour sécuriser évoluent également. Avec malheureusement les contraintes qui y seront associées.
Comme je disais le http/1.1 n'a quasi pas évolué depuis plus de 20 ans. Et j'imagine qu'il n'y a pas que le http qui est resté à la traine. Résultat des courses on trouve rien de mieux comme solution que de nous faire ajouter des couches et recouches de protocoles chiants à mettre en place et couteux (à tous les niveaux). Pour la simple et bonne raison qu'au départ ils ne pensaient pas que le http (entre autre) aurait vraiment besoin d'évoluer. C’est bien à l'image de l'être humain, on n'essaye jamais vraiment d'anticiper.
Enfin quoi qu'il en soit que le https se justifie ou non, le gros problème reste gg et son fichu monopole qui fait la pluie et beau temps dans le domaine du net.
zeb a dit:
C’est peut être c*ns, mais les techniques de piratages évoluent, il parait donc logique que les moyens pour sécuriser évoluent également. Avec malheureusement les contraintes qui y seront associées.
Comme je disais le http/1.1 n'a quasi pas évolué depuis plus de 20 ans. Et j'imagine qu'il n'y a pas que le http qui est resté à la traine. Résultat des courses on trouve rien de mieux comme solution que de nous faire ajouter des couches et recouches de protocoles chiants à mettre en place et couteux (à tous les niveaux). Pour la simple et bonne raison qu'au départ ils ne pensaient pas que le http (entre autre) aurait vraiment besoin d'évoluer. C’est bien à l'image de l'être humain, on n'essaye jamais vraiment d'anticiper.
Enfin quoi qu'il en soit que le https se justifie ou non, le gros problème reste gg et son fichu monopole qui fait la pluie et beau temps dans le domaine du net.
Bonjour,
Finalement,il est difficile de se positionner pour ou contre en lisant vos réponses.
Il y a cependant une facette qui a été abordée et qui n'a pas été discuté : Le certificat gratuit. Il existe déjà, et il est clair que les fournisseurs se jetteront dans la brèche en offrant des certif de niveau 1 qui seront probablement des futurs client de wilcard, niveau 2 et plus.
Quid des anciens sites, en quoi une redirection http/https permanente 301 sur l'ensemble du site serait péjorative pour le ref ?
Est ce qu'un client anti e-commerce, et il y en a beaucoup, se sentirait plus en sécurité ?
Techniquement, il n'est pas plus difficile d'installer le https qu'un serveur mail sortant sécurisé.
Finalement,il est difficile de se positionner pour ou contre en lisant vos réponses.
Il y a cependant une facette qui a été abordée et qui n'a pas été discuté : Le certificat gratuit. Il existe déjà, et il est clair que les fournisseurs se jetteront dans la brèche en offrant des certif de niveau 1 qui seront probablement des futurs client de wilcard, niveau 2 et plus.
Quid des anciens sites, en quoi une redirection http/https permanente 301 sur l'ensemble du site serait péjorative pour le ref ?
Est ce qu'un client anti e-commerce, et il y en a beaucoup, se sentirait plus en sécurité ?
Techniquement, il n'est pas plus difficile d'installer le https qu'un serveur mail sortant sécurisé.
Le certificat gratuit pose certains problèmes non?
Sont-ils bien reconnus par tous les navigateurs? n'a t-on pas de message gênant lorsqu'on tombe sur un site utilisant ce type de certificat? Ne doivent-ils pas être validés tous les mois? Il doit bien y avoir une différence importante entre un certificat gratuit et un payant.
Faire des redirections pour un ancien site équivaut quasiment à changer de domaine. Il y a aura forcément une perte de jus. Ensuite tout dépend du site, les redirections seront peut être plus ou moins complexes à mettre en place.
A la limite même le e-commerce n'aurait pas vraiment besoin d'être en https étant donné que pour les paiements il passe par des services tiers qui eux sont en https. Hormis peut être pour les très grosses boutiques en ligne qui conservent nos données bancaires.
Déjà il faut savoir que le certificat SSL n’est pas forcément disponible/possible sur tous les hébergements mutualisés, ensuite je suis désolé mais passer son site en https est loin d'être à la porter de tout le monde :wink:
En ce qui me concerne je ne me sens pas du tout à l'aise avec ça.
Ajoutons à cela, comme l'a dit Leonick qu'il faut également être https à tous les niveaux en interne, ce qui n'est pas forcément évident à l'heure actuelle. Voir les problèmes avec adsense ou encore différents services tiers (script) que nous pouvons utiliser mais qui ne sont pas encore passés au https.
Sont-ils bien reconnus par tous les navigateurs? n'a t-on pas de message gênant lorsqu'on tombe sur un site utilisant ce type de certificat? Ne doivent-ils pas être validés tous les mois? Il doit bien y avoir une différence importante entre un certificat gratuit et un payant.
Faire des redirections pour un ancien site équivaut quasiment à changer de domaine. Il y a aura forcément une perte de jus. Ensuite tout dépend du site, les redirections seront peut être plus ou moins complexes à mettre en place.
A la limite même le e-commerce n'aurait pas vraiment besoin d'être en https étant donné que pour les paiements il passe par des services tiers qui eux sont en https. Hormis peut être pour les très grosses boutiques en ligne qui conservent nos données bancaires.
Déjà il faut savoir que le certificat SSL n’est pas forcément disponible/possible sur tous les hébergements mutualisés, ensuite je suis désolé mais passer son site en https est loin d'être à la porter de tout le monde :wink:
En ce qui me concerne je ne me sens pas du tout à l'aise avec ça.
Ajoutons à cela, comme l'a dit Leonick qu'il faut également être https à tous les niveaux en interne, ce qui n'est pas forcément évident à l'heure actuelle. Voir les problèmes avec adsense ou encore différents services tiers (script) que nous pouvons utiliser mais qui ne sont pas encore passés au https.
pour moi, un certificat basique n'apporte aucune réelle sécurité à un internaute, car ce certificat lie juste une ip avec un ndd. Les seuls certificats ayant un apport sécuritaire sont ceux bien plus chers, pour lesquels est vérifié l'authenticité de l'entreprise derrière le ndd. Là, tu sais qu'il y a une vraie entreprise légale avec de vraies coordonnées derrière le e-commerce sur lequel tu as fais des achats.
pour google c'est la même chose : ce qui les intéresse c'est de supprimer tout le spam du web et, pour ça, le meilleur moyen de faire le ménage sur les requêtes concurrentielles, c'est de n'envoyer que des sites de vraies entreprises du domaine considéré, dans ses serp. Et pour ça, les "vrais" certificats ssl (certifiés par des entreprises de 1° plan, genre symantec,...) sont nécessaires.
après, si tu te connectes à partir d'un réseau wifi et que tu n'as jamais été sur un site sécurisé, le MITM consistera à créer un faux réseau wifi, sur lequel un serveur dns redirigera les requêtes vers des sites de phishing (avec donc un faux certificat) et donc tu enverras de façon sécurisé des données à un faux site intermédiaire qui, lui, se connectera avec ton compte sur le vrai site et te renverra les données du vrai site. Sauf qu'il aura eu accès à toutes tes infos, malgré le https
l'autre problème que pose le https généralisé, c'est que ton antivirus au lieu de filtrer tous les flux entrants sur ton système, devra intégrer son module sur chaque navigateur pour vérifier les flux entrants une fois déchiffrés. Que de puissance de processeur gâchée...
et ça, sur un smartphone, ça pompe bien la batterie
pour en revenir avec la communication de gg sur la sécurisation du https, où il faisait croire que le passage en https faisait OBLIGATOIREMENT perdre la requête dans le referer, je continue à avoir quelques referer gg en https avec la requête en clair, tout comme j'ai l'essentiel des referer http sans la requête en clair
pour google c'est la même chose : ce qui les intéresse c'est de supprimer tout le spam du web et, pour ça, le meilleur moyen de faire le ménage sur les requêtes concurrentielles, c'est de n'envoyer que des sites de vraies entreprises du domaine considéré, dans ses serp. Et pour ça, les "vrais" certificats ssl (certifiés par des entreprises de 1° plan, genre symantec,...) sont nécessaires.
après, si tu te connectes à partir d'un réseau wifi et que tu n'as jamais été sur un site sécurisé, le MITM consistera à créer un faux réseau wifi, sur lequel un serveur dns redirigera les requêtes vers des sites de phishing (avec donc un faux certificat) et donc tu enverras de façon sécurisé des données à un faux site intermédiaire qui, lui, se connectera avec ton compte sur le vrai site et te renverra les données du vrai site. Sauf qu'il aura eu accès à toutes tes infos, malgré le https
l'autre problème que pose le https généralisé, c'est que ton antivirus au lieu de filtrer tous les flux entrants sur ton système, devra intégrer son module sur chaque navigateur pour vérifier les flux entrants une fois déchiffrés. Que de puissance de processeur gâchée...
et ça, sur un smartphone, ça pompe bien la batterie
pour en revenir avec la communication de gg sur la sécurisation du https, où il faisait croire que le passage en https faisait OBLIGATOIREMENT perdre la requête dans le referer, je continue à avoir quelques referer gg en https avec la requête en clair, tout comme j'ai l'essentiel des referer http sans la requête en clair
Les certificats basiques cryptent quand même les données qui transitent, même si ce n'est pas la protection ultime (aucune protection ne l'est), ça reste tout de même bien plus sûr que du http.
Pour des sites lambda (soit 90% du net) avec des données pas trop sensibles ces certificats sont plus que que suffisants.
Après c’est évidemment pas impossible que GG impose par la suite d'avoir des certificats certifiés par des entreprises. Mais j'en doute et autant dire que si c'était le cas ça ne sera pas pour demain.
maintenant je ne sais pas qu'elle différence il y a entre un certificat gratuit et un payant. Chez ovh par exemple en mutualisé on paye 50€ /an pour un certificat basique
Les antivirus n'ont-ils pas déjà leur module intégré sur les navigateurs?
Pour des sites lambda (soit 90% du net) avec des données pas trop sensibles ces certificats sont plus que que suffisants.
Après c’est évidemment pas impossible que GG impose par la suite d'avoir des certificats certifiés par des entreprises. Mais j'en doute et autant dire que si c'était le cas ça ne sera pas pour demain.
maintenant je ne sais pas qu'elle différence il y a entre un certificat gratuit et un payant. Chez ovh par exemple en mutualisé on paye 50€ /an pour un certificat basique
Les antivirus n'ont-ils pas déjà leur module intégré sur les navigateurs?
pour des sites lambda (soit 90% du net) avec des données pas trop sensibles, le http est plus que suffisant !
le https chiffre les données, mais si, comme pas mal de sites le font encore, tu laisses ton session_id dans l'url :roll:
chiffrer les données n'est pas sécurisé le web, tu peux avoir un site freee.fr avec son certificat, si tu ne fais gaffe qu'à ta barre d'adresse pour rechercher ton cadenas, tu auras confiance. Tu taperas tes identifiants en te demandant pourquoi ça n'est pas enregistré comme habituellement, mais bon, tu les taperas quand même.
du fait qu'on t'auras fais croire que le https te protège, le phishing sera d'autant plus facile à faire :roll:
le https chiffre les données, mais si, comme pas mal de sites le font encore, tu laisses ton session_id dans l'url :roll:
chiffrer les données n'est pas sécurisé le web, tu peux avoir un site freee.fr avec son certificat, si tu ne fais gaffe qu'à ta barre d'adresse pour rechercher ton cadenas, tu auras confiance. Tu taperas tes identifiants en te demandant pourquoi ça n'est pas enregistré comme habituellement, mais bon, tu les taperas quand même.
du fait qu'on t'auras fais croire que le https te protège, le phishing sera d'autant plus facile à faire :roll:
Ouais mais là c’est vraiment chercher la petite bête pour casser le https :wink:
La session dans l'URL,sa touche du domaine des failles que l'on doit éviter en interne (d'autant plus que ça peut créer du DC). Évidemment si en interne on est pas protégé contre les injections, https ou non ça ne changera rien également.
Il y a des choses qu'en interne on peut faire. Par contre pour le cryptage des données qui transitent, la c’est plus vraiment de notre ressort par conséquent on ne peut se fier qu'au http ou https.
Après bien sur que le phishing peut exister sur du http comme sur du https, mais la ce n’est plus le problème du https mais des internautes qu'il faut un minimum éduquer. Lorsqu'on va sur un site on regarde non seulement le https mais surtout le nom de domaine.
La session dans l'URL,sa touche du domaine des failles que l'on doit éviter en interne (d'autant plus que ça peut créer du DC). Évidemment si en interne on est pas protégé contre les injections, https ou non ça ne changera rien également.
Il y a des choses qu'en interne on peut faire. Par contre pour le cryptage des données qui transitent, la c’est plus vraiment de notre ressort par conséquent on ne peut se fier qu'au http ou https.
Après bien sur que le phishing peut exister sur du http comme sur du https, mais la ce n’est plus le problème du https mais des internautes qu'il faut un minimum éduquer. Lorsqu'on va sur un site on regarde non seulement le https mais surtout le nom de domaine.
Tous sites avec espace membres ou admin sont concernés, on est loin des 90% lamba si l'on prend ça en considération.
Toutes personnes portant un intérêt sur le SEO n'aura pas de session_id dans l'URLs.
Toutes personnes qui ont un doute regarderont l'URL et non le cadena dans un premier temps.
Avez vous lu que les installations des relais téléphoniques qui on 20 ans sont des vraies passoires ?
Que les etats ne sont pas les seuls a vous espionner des conversation telephonique jusqu'aux SMS ?
Je troll pas, je dis juste qu'il faut vivre avec son temps et toute sécurisations nécessaires, ou plutot anticipée est un sujet bien d'actualité.
La vétusté vas devenir un problème securitaire a la portée de tous. Coté mail, c'est deja fait avec une signature DKIM et SPF, sinon spam direct.
De plus, coté perfs, on a facilement quadruplé (et je suis gentil) la puissance des machines, aussi diverses soient elles, et dans tous les menages depuis wanadoo 512K et le WAP sur mobile ^^
Sinon, pour le e-commerce, je pense que c'est un reel plus pour un client qui n'a pas le jargon technique que nous déballons ici.
Debat très interessant dans tous les cas
Toutes personnes portant un intérêt sur le SEO n'aura pas de session_id dans l'URLs.
Toutes personnes qui ont un doute regarderont l'URL et non le cadena dans un premier temps.
Avez vous lu que les installations des relais téléphoniques qui on 20 ans sont des vraies passoires ?
Que les etats ne sont pas les seuls a vous espionner des conversation telephonique jusqu'aux SMS ?
Je troll pas, je dis juste qu'il faut vivre avec son temps et toute sécurisations nécessaires, ou plutot anticipée est un sujet bien d'actualité.
La vétusté vas devenir un problème securitaire a la portée de tous. Coté mail, c'est deja fait avec une signature DKIM et SPF, sinon spam direct.
De plus, coté perfs, on a facilement quadruplé (et je suis gentil) la puissance des machines, aussi diverses soient elles, et dans tous les menages depuis wanadoo 512K et le WAP sur mobile ^^
Sinon, pour le e-commerce, je pense que c'est un reel plus pour un client qui n'a pas le jargon technique que nous déballons ici.
Debat très interessant dans tous les cas
WRInaute accro
Oui mais bon c'est pas un argument car justement on galope dans la surenchère technologique ce qui est crétin par principe dans la mesure ou il est plus judicieux d'apprendre a faire plus avec la même chose que de faire, comme c'est le cas en ce moment, la même chose voir moins avec beaucoup plus de puissance.WEBCodeur a dit:
Là on est sur un constat consternant au niveau technologique. Si tu prend le domaine de la bureautique on a affaire a des machines 1000 fois plus puissantes (au bas mot) que celle qu'on avait dans les années 80/90 et on fait toujours la même chose avec sans aucun plus ... la Seule chose qu'on a réussi a compenser c'est la prise de poids du software qui lui ne nous rend pas plus de services au final (du moins si peut être ; savoir ceux qu'on utilise pas les fameux 80% de code dormant).
Si maintenant on se reporte au web exclusivement a quoi bon avoir un boing 747 pour lire une page web ? bah a ce jour c'est uniquement pour se taper des pages codée par des branquignoles qui ont collé 43 plugins sur leur wordpress et qui utilisent 4 régies pub externes pour t'afficher 10 layers animés sur la page. Je force un peut le trait mais c'est pas loin de la réalité.
Je plussois ton argument, l'obsolescence programmée
Mais nous sortons du contexte et l'aspect sécuritaire nécessaire qui lui n'a rien a voir.
Le gus avec 40 plugins gratos qui fait des sous avec les regis publicitaires, le tout sur un hébergement a trois balles, sera justement rétrogradé pour laisser place aux sites de qualité soucieux de la sécurité et de la navigation client. Je suis franchement pour !
Le gars qui va miser sur le https ne va pas le faire forcement pour GG et le (SEO (qui en passant n'a rien a voir)), il y a aussi cet aspect sécuritaire pour le client/visiteur.
Respectons également le fait que le client/visiteur final n'en a que fiche du code source, des url simplifiées, du SEO et j'en passe. Je pense que la différence est la.
Pour en revenir a l'asso certificat gratuit/navigateur, je n'ai jamais eu de soucis avec StartSSL. Quid des autres ?
Mais nous sortons du contexte et l'aspect sécuritaire nécessaire qui lui n'a rien a voir.
Le gus avec 40 plugins gratos qui fait des sous avec les regis publicitaires, le tout sur un hébergement a trois balles, sera justement rétrogradé pour laisser place aux sites de qualité soucieux de la sécurité et de la navigation client. Je suis franchement pour !
Le gars qui va miser sur le https ne va pas le faire forcement pour GG et le (SEO (qui en passant n'a rien a voir)), il y a aussi cet aspect sécuritaire pour le client/visiteur.
Respectons également le fait que le client/visiteur final n'en a que fiche du code source, des url simplifiées, du SEO et j'en passe. Je pense que la différence est la.
Pour en revenir a l'asso certificat gratuit/navigateur, je n'ai jamais eu de soucis avec StartSSL. Quid des autres ?
même pas : free et autres hébergeurs gratuits prendront un certificat ssl wildcard, donc tous les "ndd" gratos passeront gratuitement en httpsWEBCodeur a dit:
et je répète : ça n'est pas parce qu'un site est en https qu'il est "sécure" !
euh, vais-je naviguer de façon plus sécurisée sur youtube en https, si je ne suis pas connecté sur mon compte gmail ? :roll:
tabouet a dit:
Je me dit que l'on est en train de payer les conséquences d'un trop grande liberté. Tout le monde a fait ce qui lui plaisait et maintenant quelques responsables essaie d'imposer des "gardes fous".
Le problème est qu'ils le font sans coordination, chacun dans leur coin. Ça risque de devenir bordélique assez vite
WRInaute accro
Et comme dans beaucoup de cas similaires ça se fait sans remise en cause du système de base sous forme de patch au lieu de pondre un système nouveau prenant tout en compte ... Le résultat des courses est une somme de petite adaptations a la c0n qui au final ne vont garantir qu'une solution précaire qui sera contournée dans 3/4 ans ...
WRInaute discret
Sans compter que même si je suis webmaster pro depuis quelques années, je n'ai aucune idée de la démarche que je dois suivre pour passer mes sites en https. De plus, j'ai cru comprendre que ce passage est payant... Je me vois mal contacter tous mes clients pour leurs expliquer qu'ils vont encore devoir payer un truc supplémentaire.
PS: Joyeux Noël à tous !
PS: Joyeux Noël à tous !
WRInaute passionné
C'est juste une propostion pour que Chrome intègre un avertissement (genre une icône à côté de l'URL).
La news qui en est à l'origine a un titre mensonger.
Ca n'est pas adopté.
Et ça ne le sera pas, croyez-moi !
Si Google voulait "imposer" le https, ils n'aurait pas attendu jusqu'à ce qu'il y a peu pour que ce soit un critère de classement, et il ferait en sorte que le poids de ce critère ne soit pas anecdotique !
La news qui en est à l'origine a un titre mensonger.
Ca n'est pas adopté.
Et ça ne le sera pas, croyez-moi !
Si Google voulait "imposer" le https, ils n'aurait pas attendu jusqu'à ce qu'il y a peu pour que ce soit un critère de classement, et il ferait en sorte que le poids de ce critère ne soit pas anecdotique !
Si pour le moment le critère https est anecdotique c'est qu'il y a encore trop peu de sites en https. Mais gg risque fortement de le rendre moins anecdotique lorsque (si) il sera plus implanté (ce qui n'est pas encore gagné).
Si c'était actuellement un critère fort, les serps seraient totalement faussées
Si c'était actuellement un critère fort, les serps seraient totalement faussées
Discussions similaires
