Bonjour,

Mon serveur dispose d'un certificat SSL. J'ai donc directement enregistré dans le fichier urls.xml les adresses nécessitant de passer en ssl via https="true".

Le problème c'est que une fois que je suis en https, il m'est impossible de repasser en http. Meme en mettant https="false" dans les adresses concernées.

Comment faire a part un rewriterule dans apache ?

bonjour,

Je ne comprend pas ce que tu entends par "repasser en http". Repasser comment ? dans quel contexte ?

eh bien, je me connecte à mon compte. Dans mon fichier urls.xml j'ai spécifié https="true"

Si je reviens sur ma page d'accueil, je suis toujours en https alors que je n'ai pas spécifié https dans l'urls.xml dans la page d'accueil.

Ce que je souhaiterais comme fonctionnement c'est :

• Je suis sur accueil en http -> je me connecte à mon compte (je suis en https) -> ca ca marche
• Je suis sur mon compte en https -> je reviens en page accueil en http -> ca ne marche pas

J'ai remarqué également une chose c'est que si je mets dans mon navigateur l'adresse suivante :

https://dev.monsite.fr/moncompte (je suis bien en https car spécifié dans urls.xml)

et si je mets

http://dev.monsite.fr/moncompte je m'attendrais a ce que jelix regarde son fichiers urls.xml et me fasse passer en https mais ce n'est pas le cas, je reste en http :-(

Parce que quand tu definis https, jelix génère l'url complète (https://site.com/....) alors que si ce n'est pas défini, il génère juste une url absolue sans protocol ni nom de domaine.

Et en quoi est-ce un problème que tu navigues en https ? mieux vaut plus de sécurité que pas assez n'est-ce pas ?

Je pense au ressource de mon serveur et pour visualiser des fiches, ce n'est pas vraiment nécessaire de crypter.

Si je prends l'exemple de priceminister, on passe en https quand on va se logguer mais quand on consulte les fiches produits, on est en http

Finalement, j'ai procédé comme suit :

• Mis à https="true" dans le fichier urls.xml les adresses que je souhaitais voir passer en https
• Fais des règles de rewrite dans la conf d'apache pour le passage http <=> https

Cordialement

Ce n'est pas parce que un site fait comme ceci, qu'il faut le faire.

Et tu ne m'as toujours pas expliqué où était le souci, et pourquoi tu tiens vraiment à avoir des urls en http ;-)

Et pour moi, il y a un problème de sécurité en général, à laisser en http quelqu'un qui est identifié sur le site. Si il est identifié, c'est qu'il a des cookies (de session notamment), donc peut être sujet à des attaques de type "man in the middle", qui aboutissent alors à des vols de sessions (l'attaquant récupère l'id de session ou autres cookies et les utilisent dans ses requêtes http). Si tout est en https, impossible de savoir l'id de session par une attaque de type "man in the middle".

PS: certes, le gars garde sa session en général après identification, donc il peut très bien se faire voler son id de session avant. PS2: on peut activer le check d'IP dans le plugin auth pour contrer ce type d'attaque. mais bon...

Ce n'est pas parce que un site fait comme ceci, qu'il faut le faire.

Je sais bien, je n'ai jamais dis cela. Néanmoins l'écrasante majorité des sites fonctionnent comme cela.

Et tu ne m'as toujours pas expliqué où était le souci

Le souci de Jelix, c'est qu'il sait passer de http à https mais pas l'inverse. J'aurais pensé la chose suivante : Quand on lui indique http="false" dans le urls.xml, s'il était en https, il repasse en http. Hors ce n'est pas le cas et c'est précisément là mon problème. (car l'inverse il sait le faire). Du coup, je passe par Apache pour gérer cela.

et pourquoi tu tiens vraiment à avoir des urls en http

Pour une raison d'optimisation de ressources. Tu es le premier à promouvoir cela ;-) Lorsque je consulte une fiche produit, je ne vois pas vraiment l’intérêt d'être en https alors que ça consomme des ressources pour le cryptage (AES 256 bits dans mon cas) Je préfère donc mettre de l'https pour les parties qui en ont vraiment besoin.