je voudrais utiliser SSL pour sécuriser un site php.
Savez vous s'il y a une diminution visible des performances ?
En théorie, SSL compresse les données, donc ce qu'on perd d'un coté
(chiffrage/déchiffrage -> temps cpu) devrait etre gagné de l'autre (temps
réseau), non ?
Faut il se contenter d'utiliser ssl uniquement sur la page de login ? ou sur
toutes les pages contenant des formulaires d'édition ?
Comment faire pour que la page d'accueil soit en SSL meme si l'utilisateur a
tapé http:// dans son navigateur ?
Comment passer du ssl au non ssl et vice versa ?
Utiliser des <% php header("Location: http://"....%> pour revenir en http
après une page postant en https et pareil dans l'autre sens ?
ça me semble un peu dégueulasse comme solution, surtout que l'adresse
utilisée pour se connecter au site change en fonction de l'endroit d'ou les
gens se connectent (intranet ou internet) et que je ne la maitrise pas.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
loufoque
Lionel a dit le 27/08/2004 00:34:
Faut il se contenter d'utiliser ssl uniquement sur la page de login ? ou sur toutes les pages contenant des formulaires d'édition ?
Sur toutes les pages où il y a un échange de données dites privées entre le navigateur et le serveur. C'est le cas pour l'envoi de formulaires, mais aussi pour l'envoi d'un identifiant de session via requête GET ou Cookie. Bref, à partir du moment où on se loggue, et jusqu'à ce qu'on choisisse de se déconnecter, l'idéal est être en SSL.
Comment faire pour que la page d'accueil soit en SSL meme si l'utilisateur a tapé http:// dans son navigateur ?
Comment passer du ssl au non ssl et vice versa ?
Si on choisit le SSL uniquement pour les sessions :
Pour le passage du non ssl au ssl : Au lieu de faire <form action="truc.php" method="post"> on fait <form action="https://lesite.com/path/truc.php" method="post">.
Pour le passage du ssl au non ssl : Destruction de la session puis redirection.
Si on choisit le SSL sur tout le site :
Redirection vers la même addresse en https si http détecté.
Utiliser des <% php header("Location: http://"....%> pour revenir en http après une page postant en https et pareil dans l'autre sens ?
Tiens, y'a des gens qui utilisent la syntaxe <% en PHP. Je ne savais pas que ça existait.
surtout que l'adresse utilisée pour se connecter au site change en fonction de l'endroit d'ou les gens se connectent (intranet ou internet) et que je ne la maitrise pas.
Je vois pas en quoi ça gêne. $_SERVER['HTTP_HOST'] et tu l'as l'addresse.
Lionel a dit le 27/08/2004 00:34:
Faut il se contenter d'utiliser ssl uniquement sur la page de login ? ou sur
toutes les pages contenant des formulaires d'édition ?
Sur toutes les pages où il y a un échange de données dites privées entre
le navigateur et le serveur.
C'est le cas pour l'envoi de formulaires, mais aussi pour l'envoi d'un
identifiant de session via requête GET ou Cookie.
Bref, à partir du moment où on se loggue, et jusqu'à ce qu'on choisisse
de se déconnecter, l'idéal est être en SSL.
Comment faire pour que la page d'accueil soit en SSL meme si l'utilisateur a
tapé http:// dans son navigateur ?
Comment passer du ssl au non ssl et vice versa ?
Si on choisit le SSL uniquement pour les sessions :
Pour le passage du non ssl au ssl :
Au lieu de faire <form action="truc.php" method="post"> on fait <form
action="https://lesite.com/path/truc.php" method="post">.
Pour le passage du ssl au non ssl :
Destruction de la session puis redirection.
Si on choisit le SSL sur tout le site :
Redirection vers la même addresse en https si http détecté.
Utiliser des <% php header("Location: http://"....%> pour revenir en http
après une page postant en https et pareil dans l'autre sens ?
Tiens, y'a des gens qui utilisent la syntaxe <% en PHP. Je ne savais pas
que ça existait.
surtout que l'adresse
utilisée pour se connecter au site change en fonction de l'endroit d'ou les
gens se connectent (intranet ou internet) et que je ne la maitrise pas.
Je vois pas en quoi ça gêne.
$_SERVER['HTTP_HOST'] et tu l'as l'addresse.
Faut il se contenter d'utiliser ssl uniquement sur la page de login ? ou sur toutes les pages contenant des formulaires d'édition ?
Sur toutes les pages où il y a un échange de données dites privées entre le navigateur et le serveur. C'est le cas pour l'envoi de formulaires, mais aussi pour l'envoi d'un identifiant de session via requête GET ou Cookie. Bref, à partir du moment où on se loggue, et jusqu'à ce qu'on choisisse de se déconnecter, l'idéal est être en SSL.
Comment faire pour que la page d'accueil soit en SSL meme si l'utilisateur a tapé http:// dans son navigateur ?
Comment passer du ssl au non ssl et vice versa ?
Si on choisit le SSL uniquement pour les sessions :
Pour le passage du non ssl au ssl : Au lieu de faire <form action="truc.php" method="post"> on fait <form action="https://lesite.com/path/truc.php" method="post">.
Pour le passage du ssl au non ssl : Destruction de la session puis redirection.
Si on choisit le SSL sur tout le site :
Redirection vers la même addresse en https si http détecté.
Utiliser des <% php header("Location: http://"....%> pour revenir en http après une page postant en https et pareil dans l'autre sens ?
Tiens, y'a des gens qui utilisent la syntaxe <% en PHP. Je ne savais pas que ça existait.
surtout que l'adresse utilisée pour se connecter au site change en fonction de l'endroit d'ou les gens se connectent (intranet ou internet) et que je ne la maitrise pas.
Je vois pas en quoi ça gêne. $_SERVER['HTTP_HOST'] et tu l'as l'addresse.
Pimousse
Bonjour,
Salut,
je voudrais utiliser SSL pour sécuriser un site php.
Savez vous s'il y a une diminution visible des performances ?
le truc qui prend vraiment du temps, c'est de réaliser l'authentification. après c'est transparent ... enfin presque. je dis presque parce qu'il y a bien qq pertes dues au cryptage des flux de part et d'autres mais sincèrement, sur mon site, on ne voit pas la différence.
En théorie, SSL compresse les données, donc ce qu'on perd d'un coté (chiffrage/déchiffrage -> temps cpu) devrait etre gagné de l'autre (temps réseau), non ?
SSL ne compresse pas les données. (selon moi) Si tu veux compresser, il faut que tu actives la compression gzip sur ton site. pour cela, il faut que tu ajoutes en début de page : <?ob_start("ob_gzhandler");?> et que tu n'oublies pas de fermer le flux en sortie. regarde ça : http://www.php.net/manual/en/function.ob-gzhandler.php
Faut il se contenter d'utiliser ssl uniquement sur la page de login ? ou sur toutes les pages contenant des formulaires d'édition ?
de partout. parce que si tu repasses en http "normal", tu vas devoir renégocier une connexion SSL après ...
Comment faire pour que la page d'accueil soit en SSL meme si l'utilisateur a tapé http:// dans son navigateur ?
redirection via un header sur ta page index.php tu recherches l'url tapée (dans les var globales de php) si elle ne commence pas https, alors redirection vers le site avec https.
Comment passer du ssl au non ssl et vice versa ?
en fait moi j'ai deux variables "globales", représentant les 2 URLS de ton site, l'une en http:// et l'autre en https:// , situées dans une page que j'inclue partout. en fonction de la session, tu sais si le visiteur est connecté ou pas, et donc s'il doit être en SSL ou pas. donc tu utilises l'une ou l'autre.
Utiliser des <% php header("Location: http://"....%> pour revenir en http après une page postant en https et pareil dans l'autre sens ? ça me semble un peu dégueulasse comme solution, surtout que l'adresse utilisée pour se connecter au site change en fonction de l'endroit d'ou les gens se connectent (intranet ou internet) et que je ne la maitrise pas.
merci.
pour résumer, laisse ton site en http:// tant que les utilisateurs ne se sont pas identifiés. après tu passes en https:// et en cas de délog, tu repasses en https://
en espérant avoir répondu à tes questions,
@++ Pimousse
Bonjour,
Salut,
je voudrais utiliser SSL pour sécuriser un site php.
Savez vous s'il y a une diminution visible des performances ?
le truc qui prend vraiment du temps, c'est de réaliser l'authentification.
après c'est transparent ... enfin presque. je dis presque parce qu'il y
a bien qq pertes dues au cryptage des flux de part et d'autres mais
sincèrement, sur mon site, on ne voit pas la différence.
En théorie, SSL compresse les données, donc ce qu'on perd d'un coté
(chiffrage/déchiffrage -> temps cpu) devrait etre gagné de l'autre (temps
réseau), non ?
SSL ne compresse pas les données. (selon moi)
Si tu veux compresser, il faut que tu actives la compression gzip sur
ton site.
pour cela, il faut que tu ajoutes en début de page :
<?ob_start("ob_gzhandler");?>
et que tu n'oublies pas de fermer le flux en sortie.
regarde ça : http://www.php.net/manual/en/function.ob-gzhandler.php
Faut il se contenter d'utiliser ssl uniquement sur la page de login ? ou sur
toutes les pages contenant des formulaires d'édition ?
de partout. parce que si tu repasses en http "normal", tu vas devoir
renégocier une connexion SSL après ...
Comment faire pour que la page d'accueil soit en SSL meme si l'utilisateur a
tapé http:// dans son navigateur ?
redirection via un header sur ta page index.php
tu recherches l'url tapée (dans les var globales de php)
si elle ne commence pas https, alors redirection vers le site avec https.
Comment passer du ssl au non ssl et vice versa ?
en fait moi j'ai deux variables "globales", représentant les 2 URLS de
ton site, l'une en http:// et l'autre en https:// , situées dans une
page que j'inclue partout.
en fonction de la session, tu sais si le visiteur est connecté ou pas,
et donc s'il doit être en SSL ou pas.
donc tu utilises l'une ou l'autre.
Utiliser des <% php header("Location: http://"....%> pour revenir en http
après une page postant en https et pareil dans l'autre sens ?
ça me semble un peu dégueulasse comme solution, surtout que l'adresse
utilisée pour se connecter au site change en fonction de l'endroit d'ou les
gens se connectent (intranet ou internet) et que je ne la maitrise pas.
merci.
pour résumer, laisse ton site en http:// tant que les utilisateurs ne se
sont pas identifiés. après tu passes en https://
et en cas de délog, tu repasses en https://
je voudrais utiliser SSL pour sécuriser un site php.
Savez vous s'il y a une diminution visible des performances ?
le truc qui prend vraiment du temps, c'est de réaliser l'authentification. après c'est transparent ... enfin presque. je dis presque parce qu'il y a bien qq pertes dues au cryptage des flux de part et d'autres mais sincèrement, sur mon site, on ne voit pas la différence.
En théorie, SSL compresse les données, donc ce qu'on perd d'un coté (chiffrage/déchiffrage -> temps cpu) devrait etre gagné de l'autre (temps réseau), non ?
SSL ne compresse pas les données. (selon moi) Si tu veux compresser, il faut que tu actives la compression gzip sur ton site. pour cela, il faut que tu ajoutes en début de page : <?ob_start("ob_gzhandler");?> et que tu n'oublies pas de fermer le flux en sortie. regarde ça : http://www.php.net/manual/en/function.ob-gzhandler.php
Faut il se contenter d'utiliser ssl uniquement sur la page de login ? ou sur toutes les pages contenant des formulaires d'édition ?
de partout. parce que si tu repasses en http "normal", tu vas devoir renégocier une connexion SSL après ...
Comment faire pour que la page d'accueil soit en SSL meme si l'utilisateur a tapé http:// dans son navigateur ?
redirection via un header sur ta page index.php tu recherches l'url tapée (dans les var globales de php) si elle ne commence pas https, alors redirection vers le site avec https.
Comment passer du ssl au non ssl et vice versa ?
en fait moi j'ai deux variables "globales", représentant les 2 URLS de ton site, l'une en http:// et l'autre en https:// , situées dans une page que j'inclue partout. en fonction de la session, tu sais si le visiteur est connecté ou pas, et donc s'il doit être en SSL ou pas. donc tu utilises l'une ou l'autre.
Utiliser des <% php header("Location: http://"....%> pour revenir en http après une page postant en https et pareil dans l'autre sens ? ça me semble un peu dégueulasse comme solution, surtout que l'adresse utilisée pour se connecter au site change en fonction de l'endroit d'ou les gens se connectent (intranet ou internet) et que je ne la maitrise pas.
merci.
pour résumer, laisse ton site en http:// tant que les utilisateurs ne se sont pas identifiés. après tu passes en https:// et en cas de délog, tu repasses en https://
en espérant avoir répondu à tes questions,
@++ Pimousse
Lionel
Pimousse wrote:
Bonjour,
Salut,
je voudrais utiliser SSL pour sécuriser un site php.
Savez vous s'il y a une diminution visible des performances ?
le truc qui prend vraiment du temps, c'est de réaliser l'authentification. après c'est transparent ... enfin presque. je dis presque parce qu'il y a bien qq pertes dues au cryptage des flux de part et d'autres mais sincèrement, sur mon site, on ne voit pas la différence.
ok, c'est exactement ce que je voulais savoir
En théorie, SSL compresse les données, donc ce qu'on perd d'un coté (chiffrage/déchiffrage -> temps cpu) devrait etre gagné de l'autre (temps réseau), non ?
SSL ne compresse pas les données. (selon moi)
c'est ce qu'il me semblait avoir lu.
Si tu veux compresser, il faut que tu actives la compression gzip sur ton site.
En fait elle est déjà active, j'avais peur que ca fasse double emploi.
Faut il se contenter d'utiliser ssl uniquement sur la page de login ? ou sur toutes les pages contenant des formulaires d'édition ?
de partout. parce que si tu repasses en http "normal", tu vas devoir renégocier une connexion SSL après ...
oki
Comment faire pour que la page d'accueil soit en SSL meme si l'utilisateur a tapé http:// dans son navigateur ?
redirection via un header sur ta page index.php tu recherches l'url tapée (dans les var globales de php) si elle ne commence pas https, alors redirection vers le site avec https. pour résumer, laisse ton site en http:// tant que les utilisateurs ne se sont pas identifiés. après tu passes en https:// et en cas de délog, tu repasses en https://
en espérant avoir répondu à tes questions,
Parfait
Merci beaucoup à tous les deux.
Pimousse wrote:
Bonjour,
Salut,
je voudrais utiliser SSL pour sécuriser un site php.
Savez vous s'il y a une diminution visible des performances ?
le truc qui prend vraiment du temps, c'est de réaliser
l'authentification. après c'est transparent ... enfin presque. je dis
presque parce qu'il y
a bien qq pertes dues au cryptage des flux de part et d'autres mais
sincèrement, sur mon site, on ne voit pas la différence.
ok, c'est exactement ce que je voulais savoir
En théorie, SSL compresse les données, donc ce qu'on perd d'un coté
(chiffrage/déchiffrage -> temps cpu) devrait etre gagné de l'autre
(temps réseau), non ?
SSL ne compresse pas les données. (selon moi)
c'est ce qu'il me semblait avoir lu.
Si tu veux compresser, il faut que tu actives la compression gzip sur
ton site.
En fait elle est déjà active, j'avais peur que ca fasse double emploi.
Faut il se contenter d'utiliser ssl uniquement sur la page de login
? ou sur toutes les pages contenant des formulaires d'édition ?
de partout. parce que si tu repasses en http "normal", tu vas devoir
renégocier une connexion SSL après ...
oki
Comment faire pour que la page d'accueil soit en SSL meme si
l'utilisateur a tapé http:// dans son navigateur ?
redirection via un header sur ta page index.php
tu recherches l'url tapée (dans les var globales de php)
si elle ne commence pas https, alors redirection vers le site avec
https.
pour résumer, laisse ton site en http:// tant que les utilisateurs ne
se sont pas identifiés. après tu passes en https://
et en cas de délog, tu repasses en https://
je voudrais utiliser SSL pour sécuriser un site php.
Savez vous s'il y a une diminution visible des performances ?
le truc qui prend vraiment du temps, c'est de réaliser l'authentification. après c'est transparent ... enfin presque. je dis presque parce qu'il y a bien qq pertes dues au cryptage des flux de part et d'autres mais sincèrement, sur mon site, on ne voit pas la différence.
ok, c'est exactement ce que je voulais savoir
En théorie, SSL compresse les données, donc ce qu'on perd d'un coté (chiffrage/déchiffrage -> temps cpu) devrait etre gagné de l'autre (temps réseau), non ?
SSL ne compresse pas les données. (selon moi)
c'est ce qu'il me semblait avoir lu.
Si tu veux compresser, il faut que tu actives la compression gzip sur ton site.
En fait elle est déjà active, j'avais peur que ca fasse double emploi.
Faut il se contenter d'utiliser ssl uniquement sur la page de login ? ou sur toutes les pages contenant des formulaires d'édition ?
de partout. parce que si tu repasses en http "normal", tu vas devoir renégocier une connexion SSL après ...
oki
Comment faire pour que la page d'accueil soit en SSL meme si l'utilisateur a tapé http:// dans son navigateur ?
redirection via un header sur ta page index.php tu recherches l'url tapée (dans les var globales de php) si elle ne commence pas https, alors redirection vers le site avec https. pour résumer, laisse ton site en http:// tant que les utilisateurs ne se sont pas identifiés. après tu passes en https:// et en cas de délog, tu repasses en https://
en espérant avoir répondu à tes questions,
Parfait
Merci beaucoup à tous les deux.
Lionel
loufoque wrote:
Bref, à partir du moment où on se loggue, et jusqu'à ce qu'on choisisse de se déconnecter, l'idéal est être en SSL.
ok, j'avais oublié que les infos de sessions circulaient à chaque requete. Dans ce cas, il est évident qu'il faut mieux rester en SSL pendant toute la session, sinon autant ne pas faire de SSL du tout.
Redirection vers la même addresse en https si http détecté.
solution retenue :-)
Utiliser des <% php header("Location: http://"....%> pour revenir en http après une page postant en https et pareil dans l'autre sens ?
Tiens, y'a des gens qui utilisent la syntaxe <% en PHP. Je ne savais pas que ça existait.
Oous, erreur d'inattention, ou plutot reflexe JSP.
surtout que l'adresse utilisée pour se connecter au site change en fonction de l'endroit d'ou les gens se connectent (intranet ou internet) et que je ne la maitrise pas.
Je vois pas en quoi ça gêne. $_SERVER['HTTP_HOST'] et tu l'as l'addresse.
exact, je n'y avais pas pensé.
loufoque wrote:
Bref, à partir du moment où on se loggue, et jusqu'à ce qu'on
choisisse de se déconnecter, l'idéal est être en SSL.
ok, j'avais oublié que les infos de sessions circulaient à chaque requete.
Dans ce cas, il est évident qu'il faut mieux rester en SSL pendant toute la
session, sinon autant ne pas faire de SSL du tout.
Redirection vers la même addresse en https si http détecté.
solution retenue :-)
Utiliser des <% php header("Location: http://"....%> pour revenir en
http après une page postant en https et pareil dans l'autre sens ?
Tiens, y'a des gens qui utilisent la syntaxe <% en PHP. Je ne savais
pas que ça existait.
Oous, erreur d'inattention, ou plutot reflexe JSP.
surtout que l'adresse
utilisée pour se connecter au site change en fonction de l'endroit
d'ou les gens se connectent (intranet ou internet) et que je ne la
maitrise pas.
Je vois pas en quoi ça gêne.
$_SERVER['HTTP_HOST'] et tu l'as l'addresse.
Bref, à partir du moment où on se loggue, et jusqu'à ce qu'on choisisse de se déconnecter, l'idéal est être en SSL.
ok, j'avais oublié que les infos de sessions circulaient à chaque requete. Dans ce cas, il est évident qu'il faut mieux rester en SSL pendant toute la session, sinon autant ne pas faire de SSL du tout.
Redirection vers la même addresse en https si http détecté.
solution retenue :-)
Utiliser des <% php header("Location: http://"....%> pour revenir en http après une page postant en https et pareil dans l'autre sens ?
Tiens, y'a des gens qui utilisent la syntaxe <% en PHP. Je ne savais pas que ça existait.
Oous, erreur d'inattention, ou plutot reflexe JSP.
surtout que l'adresse utilisée pour se connecter au site change en fonction de l'endroit d'ou les gens se connectent (intranet ou internet) et que je ne la maitrise pas.
Je vois pas en quoi ça gêne. $_SERVER['HTTP_HOST'] et tu l'as l'addresse.
