OVH Community, votre nouvel espace communautaire.

Redirection SSL forcée avec mixed content


fritz2cat
31/07/2016, 09h59
Tu dois monter un (reverse)proxy qui va récupérer l'image en clair et la retransmettre en https vers le navigateur de ton visiteur.

kingkurt
30/07/2016, 17h50
Citation Envoyé par buddy
Facebbok récupère et héberge l'image non ? il me semble que c'est ce qu'ils font quand tu partages un lien ou autre du genre.
Pas sure , ça poserais des problèmes de copyright.
Je regardé dans le code source sur une page FB ou se trouve une image d'un des mes propres blogs (à l'époque mon blog était encore en http)
Et je trouve un src https qui pointe visiblement vers l'image en http
Code:
y'a t-il un spécialiste qui comprends le fonctionnement ?

verspax
30/07/2016, 17h32
Oui, c'est pas faux. C'est pas comme s'ils ne pouvaient pas se le permettre en même temps. Donc c'est fort probable, à vérifier.

buddy
30/07/2016, 17h29
Facebbok récupère et héberge l'image non ? il me semble que c'est ce qu'ils font quand tu partages un lien ou autre du genre.

verspax
30/07/2016, 17h25
Citation Envoyé par buddy
Mais çà ne doit arriver que sur 5 à 10 % des pages non ?
Par exemple ta page d'accueil ne doit pas avoir de mixted content. Sinon il faut voir pourquoi mais ce n'est pas normal ...
Probablement un peu plus que ça... Je remarque que quand même pas mal de membres utilisent leur site perso pour stocker leurs images (ou vidéos brutes) ; je ne peux rien leur reprocher pour ça, juste les inviter à stocker ailleurs pour le coup (ou à se connecter aussi en SSL ). Sinon, pour l'essentiel, c'est Imgur et YouTube (~60% à eux deux à vu de nez) puis HostingPics, Vimeo... Tous en SSL apparemment.
Après, pour les composantes du site lui-même, absolument tout est interne (d'après les sources et µMatrix). Pour ce qui est de Piwik, c'est local (sous-domaine) et en SSL, donc à priori pas de problème...

Citation Envoyé par kingkurt
Si les images "externes" ne sont pas accessible en https il reste une seule solution : stocker, si possible, les images sur ton propre serveur et changer les liens. Je me demande quand même comment des site comme Facebook (tout en https) font pour afficher des images externes provenant des sites en http sans causer des problèmes
Bonne question... Peut être du SSL "made for FB" ! En tout cas, ça m'intéresse fortement !

kingkurt
30/07/2016, 17h09
Si les images "externes" ne sont pas accessible en https il reste une seule solution : stocker, si possible, les images sur ton propre serveur et changer les liens. Je me demande quand même comment des site comme Facebook (tout en https) font pour afficher des images externes provenant des sites en http sans causer des problèmes

buddy
30/07/2016, 17h03
Si tu ne veux pas de mixted content, oui il faut tout SSL.

Après ce n'est pas gravissime non plus ...
C'est un problème qui arrive sur quasiment tous les fora ...

Mais çà ne doit arriver que sur 5 à 10 % des pages non ?
Par exemple ta page d'accueil ne doit pas avoir de mixted content. Sinon il faut voir pourquoi mais ce n'est pas normal ..

Par exemple, Youtube est HTTPS compatible donc çà ne devrait pas poser soucis. Je ne sais pas si tous les autres sont pareil.

verspax
30/07/2016, 16h42
Ah ! Donc c'est tout SSL ou rien
Du coup je vais surement devoir corriger toutes les URL, ce qui risque de prendre un certain temps...
C'est sûr, je n'aurais pas de problème si les sources externes sont appelées via HTTPS ?

Merci !

buddy
30/07/2016, 16h25
Bonjour,

c'est le problème des fora ... Tu auras toujours des images / vidéos qui viennent de l'extérieur.

Si les sites sont accessibles en HTTPS tu peux remplacer dans la BDD tous les liens automatiquement.
Si les sites qui fournissent les images en http ne sont pas accessibles https, tu ne peux rien faire ..

verspax
30/07/2016, 15h51
Bonjour,

Pour mon domaine, je cherche à forcer l'utilisation du protocole SLL et du sous-domaine www :

  1. http://www.monsite.fr >> https://www.monsite.fr
  2. http://monsite.fr >> https://www.monsite.fr
  3. https://monsite.fr >> https://www.monsite.fr


J'ai donc suivi les docs et je sais maintenant rediriger indépendamment vers HTTPS ou sur le sous-domaine www via .htaccess.
Mais pour les 3 cas en même temps, est-ce que ceci est une solution propre ?

RewriteCond %{SERVER_PORT} 80 [OR]
RewriteCond %{HTTP_HOST} ^monsite.fr$ [NC]
RewriteRule ^(.*)$ https://www.monsite.fr/$1 [QSA,R=301,L]

Les flags NC et QSA sont-il nécessaires ? Au niveau des expressions (^ $ etc.), est-ce correct ?


J'ai tout de même un problème qui se pose : j'ai de nombreuses images/vidéos qui se chargent depuis des sources externes (c'est un forum), alors comment faire pour exclure ces sources ? Je ne charge aucun JS ni CSS de l'extérieur.


Merci d'avance pour votre aide !