Passage de sites en https

[tudgur]

Bonjour à tous.
Il y a quelques jours, j'ai passé mes deux sites en https :

 meteo-plouguerneau.fr

meteo-serre-chevalier.fr

 

Mais j'ai un petit problème avec l'affichage du widget des prévisions MF sur les pages d'accueil des deux sites.

Le site de MF n'est pas en https !!!

Il faut utiliser plusieurs fois la touche F5 pour en obtenir l'affichage.

J'ai tenté une manip : j'ai mis le code du widget : 

<script charset='UTF-8' src='https://www.meteofrance.com/mfportlet/rest/vignettepartenaire/291950/type/VILLE_FRANCE/size/PORTRAIT_VIGNETTE'type='text/javascript'</script>

dans un fichier txt que j'ai renommé en .php :  mf_ploug.php

Malheureusement, ce n'est pas mieux.

y aurait-il une solution ?

Merci.

 

 

[Thundik81]

https://forums.infoclimat.fr/f/topic/52919-widget-vigilance-meteo-france/

[tudgur]

Merci pour la réponse.

 

A tout hasard, sans avoir consulté le site de MF, j'avais rajouté le s.
Mais cela ne change rien !

Quant à la tâche cron, ce n'est pas pour moi...

[Turquoise_ExNico41]

C'est ahurissant qu'un site officiel comme Météofrance qui est un institut important ne soit même pas en https. Même des petits sites quasi-amateurs sont aujourd'hui en https.

[Cleofide]

Il me semble qu'il n'y a aucune pertinence à implanter le chiffrage SSL sur un site où l'utilisateur ne fait que consulter des informations, sans échange de données sensibles. Passer un site météo amateur ressemble plus à du gadget qu'à un besoin sérieux.

Pour Météo-France, dès que des données privées ou sensibles transitent, ils passent en SSL (voir par exemple : https://particulier.meteofrance.com/configuration/certificat-d-intemperies )

[Fred59_]

Il y a 23 heures, Cleofide a dit :

Il me semble qu'il n'y a aucune pertinence à implanter le chiffrage SSL sur un site où l'utilisateur ne fait que consulter des informations, sans échange de données sensibles. Passer un site météo amateur ressemble plus à du gadget qu'à un besoin sérieux.

Pour Météo-France, dès que des données privées ou sensibles transitent, ils passent en SSL (voir par exemple : https://particulier.meteofrance.com/configuration/certificat-d-intemperies )

 

Ce n'est pas exact, pour plusieurs raisons :

- les utilisateurs se connectent via un compte perso sur de nombreux sites. Beaucoup d'utilisateurs ont tendance à utiliser des mots de passe similaires ou identiques sur plusieurs sites web, y compris en mélangeant des sites "sensibles" et des sites dont les identifiants n'ont aucun intérêt. Il est donc de bon aloi de proposer le chiffrement des communications pour protéger ses utilisateurs de manière générale. De même, les informations que vous pouvez taper (votre ville dans un moteur de recherche de prévisions météo !) peuvent permettre de vous identifier.

- de nombreux navigateurs et moteurs de recherche commencent à pénaliser les sites web ne proposant pas le chiffrement, et à l'avenir les sites ne communiquant pas de manière chiffrées seront tout simplement bloqués.

- les nouveaux protocoles web, tels HTTP/2, obligent le chiffrement des communications de facto. Ces protocoles optimisent le temps de téléchargement et de rendu des sites web, et sont donc là aussi une bonne chose à mettre en place. Aujourd'hui, cela ne coûte plus grand chose à un processeur de (dé)chiffrer de l'information. Le surcoût énergétique, et donc financier (qui doit être pris en compte quand un serveur prend des millions de requêtes par heure !) est donc négligeable.

- passer en HTTPS permet également de rendre plus ardue la tâche aux attaquants qui souhaiteraient utiliser le site web à des fins malveillantes. Un site amateur est peut-être encore plus exposé que les autres à ce type d'attaques, le fait de le passer de force en HTTPS permet de réduire la surface d'attaque, certaines attaques étant rendues plus difficiles en HTTPS. Cela permet donc de protéger les autres, et réduire le risque que son site ne serve à héberger des contenus injectés de manière malveillante.

- de manière générale, passer l'intégralité des communications en HTTPS, y compris les petits sites non sensibles, est une bonne pratique pour "noyer dans la masse" l'intégralité du trafic, et empêcher des pratiques telles que la non-neutralité du web, l'interception abusive des communications par les employeurs ou certains gouvernements, et également rendre plus ardu le travail des attaquants, etc.