Stránky přístupné po https i po http

motorcb

Zdravím,

jak udělám zpřístupnění stránek po https i po http?

Zkoušel jsem toto:

		$router[] = new Route('<presenter>/<action>[/<id>]', 'Homepage:default', Route::SECURED);
		$router[] = new Route('<presenter>/<action>[/<id>]', 'Homepage:default');

Pokud jdu na stránky po http, jsem přesměrován na https. Jak na to?

Díky

Šaman

Protože při generování odkazů (i při normalizaci adresy) se používá ta první routa, která odpovídá tvaru adresy.

motorcb

@Šaman to je fajn, takže budu muset mít web jen na http nebo na https? Neexistuje možnost provozovat ho na obou protokolech zároveň?

Šaman

Nevím, jestli neexistuje, ale běžné to není. Jestli není potřeba zabezpečovat, tak nezabezpečuj. Mimochodem není to hezké ani z hlediska SEO, protože máš na dvou adresách stejný obsah, vyhledávače to chápou jako dvě různé stránky apod.

voda

Můžeš použít

$router[] = new Route('<presenter>/<action>[/<id>]', 'Homepage:default', $httpRequest()->isSecured() ? Route::SECURED : 0);

snake.aas

U nás se to řešilo, když aplikace běží na serveru ve vnitřní síti a z venku je dostupná přes reverzní proxy. A protože Varnish neumí pracovat s https, ale pro uživatele ve vnitřní síti to samozřejmě chceme mít po https…

MartinitCZ

Pokud máš koupený certifikát pro https, tak nevidím jediný důvod, proč povolit http.

akadlec

tak komentář nemusíš mít ani koupený, snad vetšina serverů obsahuje obecný SSL, jen tedy většinou není podepsán autoritou a tak uživateli vyskočí hláška.

akadlec

imho je blbost mít jednu stránku přístupnou přes HTTPS a HTTP, budeš si tak tříštit obsah a pokud chceš zabezpečení tak verze bez zabezpečení postrádá smysl.

MartinitCZ

@akadlec Ale ta hláška je problém. Kolik BFU se ti na to vykašle a raději odejde? :)

Majkl578

Jo, to je fakt relevantní odpověď na dotaz. Kdybych mohl, dal bych ti –100.
A proč nepovolit výhradně HTTPS? Třeba obsahu z cizích domén a/nebo HTTP, ale třeba i kvůli overheadu na serveru (mírně vyšší zátěž) a/nebo klientovi (načtení HTTPS stránky je náročnější než HTTP).
Jinak certifikáty není třeba kupovat, lze je získat i zdarma.

Čamo

Certifikát zadarmo? Môžeš to trochu upresniť?

Jan Endel

Při použití Http/Https místo čistě Https řešení se může stát, že se nevědomky použije Http tam kde musí být Https typicky u vykreslování přihlašovacího formuláře, který se pak zpracovává Https, při prvotním přenosu formuláře po http mu může někdo podvrhnout action. Zároveň co se týče rychlosti je zajímavý tento článek zejména pak bod #3. Naprosto drtivá většina různých analytických nástrojů umožňuje použití Https. Takže v podsatě nevidím důvod, proč se držet míšence pokud chci alespoň nějakou úroveň zabezpečení a/nebo operuju s citlivými uživatelskými daty jako email, či telefon.

Majkl578

@JanEndel: Pokud se to stane, je blb ten, kdo to tak naprogramoval, pro takovou stránku máš vynutit SSL speciální routou. To každopádně není argument pro nebo proti duální verzi.

Majkl578

@Čamo: Např. https://www.startssl.com/?…, nabízí free SSL certifikáty pro doménu 2. řádu a jednu subdoménu. Používali jsme je v bývalé práci na desítky projektů a nikdy nebyl problém.

Čamo

@Majkl578: Stále rozmýšľam kde je ten háčik. Ako to, že sa certifikáty predávajú, keď ich niekto dáva zadarmo. Ešte som to nikdy neriešil tak sa pýtam…

Editoval Čamo (30. 6. 2014 15:23)

Majkl578

Tyhle free jsou dost specifické, už třeba tím, že jsou limitované na jednu subdoménu. Plus nejspíš nebudou nabízet tolik možností konfigurace, nemají zelený bezpečnostní štítek (vlevo vedle URL v prohlížeči) apod. Ale konkrétně nevím, sám jsem je nikdy nekonfiguroval.

Čamo

Ok díky.

Filip Procházka

Ty free startssl jsou úplně v pohodě, háček není v ničem, je to prostě freemium model.