Admins

Voir https://agir.april.org/issues/1686

Solution: patcher drupal ou changer pour autre chose.

Mais tout mettre en https ne résout pas le souci ?

Si. Mais perso ça me chagrine que des infos publiques ne soient pas accessibles en clair et nécessitent des tonnes de calculs pour être lisibles.

Dans ce cas enlever le formulaire de login et le remplacer par un lien ?

François Poulain a écrit :

Si. Mais perso ça me chagrine que des infos publiques ne soient pas accessibles en clair et nécessitent des tonnes de calculs pour être lisibles.

Sauf qu'on ne sait pas tellement gérer ça autrement pour l'instant. Et personnellement, ça ne me chagrine pas plus que ça, d'autant plus que ça authentifie la source.

Les temps de calcul pour TLS sont négligeables sur une machine moderne avec le trafic que l'on a.

Et si les cookies de sessions passent en clair ensuite, ça annule en partie l'intérêt de faire du TLS.

Ça ne bloque aucun visiteur de le faire sur la partie publique. Et ça complique la vie à quelqu'un qui veut voir exactement quelles pages un utilisateur a vu (bien que ce soit un risque assez négligeable sur le site de l'April).

Enfin ça préserve des saloperies style proxys transparents qui "optimisent" les pages dont les opérateurs mobiles sont (étaient ?) friands.

En l'état, j'ai du mal à voir quels avantages ça aurait de ne pas le faire.