Discussion :

[redah75]

oui, je sais que le https sert a chiffrer et crypter les données entre le serveur et client et que c'est complètement different du htccess... et c'est d'ailleurs pour cette raison que j'utilise le https dans toutes les pages ou il y a les infos dites 'sensibles'..

je ne comprends pas très bien ce que tu veux dire par "En HTTPS de base, il n'y a pas d'authentification même si c'est possible" !

Pour protéger ton /admin, je ferais donc les 2 : authentification (basique minimum) + HTTPS redirigé par .htaccess. Mais le souci c'est que tu ne pourras pas forcer le passage HTTP => HTTPS sur un dossier protégé par .htaccess, je crois. A tester.

si j'ai bien compris, je fais une authentification comme celle de /login.php et puis tout le dossier /admin en https?
mais le problème risque d'être le meme qu'on a rencontré avant: une redirection https par .htaccess risque de bloquer l'appel des fichiers Ajax!! non?

[_Mac_]

je ne comprends pas très bien ce que tu veux dire par "En HTTPS de base, il n'y a pas d'authentification même si c'est possible" !

Avec SSL, tu peux faire de l'authentification en utilisant des certificats clients, mais c'est assez compliqué à mettre en place et surtout il faut avoir accès à la configuration centrale d'Apache.

si j'ai bien compris, je fais une authentification comme celle de /login.php et puis tout le dossier /admin en https?
mais le problème risque d'être le meme qu'on a rencontré avant: une redirection https par .htaccess risque de bloquer l'appel des fichiers Ajax!! non?

Oui aux deux questions mais tu peux appliquer le même contournement que pour le reste des pages. Dans les pages de /admin, tu fais la redirection en HTTPS et tu vérifies surtout que l'utilisateur connecté est bien un administrateur.

[redah75]

Avec SSL, tu peux faire de l'authentification en utilisant des certificats clients, mais c'est assez compliqué à mettre en place et surtout il faut avoir accès à la configuration centrale d'Apache.

OK, je ne savais pas que ceci existait

Oui aux deux questions mais tu peux appliquer le même contournement que pour le reste des pages. Dans les pages de /admin, tu fais la redirection en HTTPS et tu vérifies surtout que l'utilisateur connecté est bien un administrateur.

OK, merci pour toutes ces infos utiles et tes efforts...

@ bientot

[redah75]

je reviens vers toi pour un tout petit soucis que je viens de découvrir!

lorsque je vais sur cette page "http://www.site.com/page.php#ancre" qui doit être en https, le script que je t'ai montré me redirige vers "https://www.site.com/page.php" il ne garde pas l'ancre.
j'ai essayé $_SERVER['QUERY_STRING'] et $_SERVER['SELF_PHP'] mais ca ne donne rien. j'ai fait des recherches sur le net mais il parait qu'il n'y a pas de solution. qu'en penses tu??

[_Mac_]

En effet, il n'y a pas de solution car les ancres ne sont gérées que par les navigateurs

[redah75]

hehe, j'ai fini par faire ce que je n'ai pas faire: mettre en dure un lien https (href="https://www...") mais uniquement pour cette page qui contient des ancres...

Merci