Discussion :

[olivier_f]

Bonjour,

Pour des raisons de sécurité (et de SEO), il est préférable de lancer nos applis JS en HTTPS. Conformément à la RFC2616, le navigateur ne transmet alors plus le Referer dans l'entête, et par conséquence, on ne peut plus le transmettre dans nos requêtes WMTS au Géoportail.
Selon ma compréhension, dans l'état actuelle de l'infrastructure du Géoportail, on ne peut donc pas avoir des applis JS sécurisées et utiliser le WMTS du Géoportail.
Une solution pas très orthodoxe serait de passer par un serveur mandataire sécurisé redirigeant les requêtes vers le WMTS du Géoportail...

Y a-t-il un espoir que cela évolue ?

Merci et bonne fin de journée

[mga_geo]

Bonsoir,

Je ne comprends pas très bien le besoin de sécurité (et de SEO).
Pour les tuiles wmts, l'utilisation de l'https permet juste de consommer plus de ressources informatiques.
Pour les javascripts, il est possible de les servir sur un serveur dédié en https.

[gcebelieu]

Bonsoir,
Une solution alternative est d'utiliser une sécurisation par login/password et de faire gérer l'envoi des infos d'authentification par votre appli à chaque requête (basic auth). Ça résout le problème d'accès par https, mais vos login passwd apparaîtront dans le code de votre appli, ce qui n'est pas génial non plus...

[tcoupin]

Voici l'extrait de la RFC qui nous interesse :

Because the source of a link might be private information or might reveal an otherwise private information source, it is strongly recommended that the user be able to select whether or not the Referer field is sent. For example, a browser client could have a toggle switch for browsing openly/anonymously, which would respectively enable/disable the sending of Referer and From information.

Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol.

Pour le second point, comme votre appli est en https, il suffit de requeter le Géoportail en https également.
Pour le premier, il s'agit d'une recommandation. Je viens de tester avec firefox et chrome : par défaut, le referer est bien envoyé. Pour les autres navigateur, la RFC indique bien que l'utilisateur doit avoir un bouton pour choisir de l'envoyer ou non.

J'utilise à titre personnel du WMTS sur une page https et cela fonctionne.

Thibault

[olivier_f]

Bonsoir,

Bonsoir,

Je ne comprends pas très bien le besoin de sécurité (et de SEO).

Ici une explication sur l'intérêt d'utiliser https : http://www.webrankinfo.com/dossiers/...ps-critere-seo

Pour les tuiles wmts, l'utilisation de l'https permet juste de consommer plus de ressources informatiques.

Vue la croissance de la puissance des serveurs, cela représente maintenant une fraction de pourcentage de CPU.

Pour les javascripts, il est possible de les servir sur un serveur dédié en https.

Oui, dédié ou pas d'ailleurs

[olivier_f]

Bonsoir,

Pour le second point, comme votre appli est en https, il suffit de requeter le Géoportail en https également.

Le problème est que justement, on ne peut pas requêter le service WMTS du Geoportail en https.

Pour le premier, il s'agit d'une recommandation. Je viens de tester avec firefox et chrome : par défaut, le referer est bien envoyé. Pour les autres navigateur, la RFC indique bien que l'utilisateur doit avoir un bouton pour choisir de l'envoyer ou non.

Une RFC plus récente a renforcé la recommandation :

"Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content: referrer (RFC 7231 § 5.5.2)". IETF. June 2014. Retrieved 2014-07-26.
A user agent MUST NOT send a referrer header field in an unsecured HTTP request if the referring page was received with a secure protocol

J'utilise à titre personnel du WMTS sur une page https et cela fonctionne.

Est-il possible d'avoir l'URL du site en question, histoire de faire progresser la science

Olivier

[olivier_f]

Bonsoir,
Une solution alternative est d'utiliser une sécurisation par login/password et de faire gérer l'envoi des infos d'authentification par votre appli à chaque requête (basic auth). Ça résout le problème d'accès par https, mais vos login passwd apparaîtront dans le code de votre appli, ce qui n'est pas génial non plus...

Bonsoir et merci de votre réponse,
même si en effet ce n'est pas génial.
La solution la meilleure serait que le service WMTS du Géoportail passe en HTTPS...

[tcoupin]

Voici la fameuse page wmts en https : https://tcoupin.github.io/2015/10/31...s-de-fail2ban/

Thibault

[olivier_f]

Merci Thibault !
Ma première assertion était fausse : apparemment le service WMTS du geoportail accepte les connexion HTTPS.
Je vais revoir ma copie.

[tcoupin]

Tous les webservices montés sur le domaine wxs.ign.fr sont disponibles en HTTPS (avec un certificat sha2 pour ne pas avoir de navigateur qui râle).

Si c'est bon, un petit ?

[olivier_f]

Tous les webservices montés sur le domaine wxs.ign.fr sont disponibles en HTTPS (avec un certificat sha2 pour ne pas avoir de navigateur qui râle).

Si c'est bon, un petit ?

En effet, et pas ceux de gpp3-wxs.ign.fr
C'est résolu en allant taper dans un autre serveur.