Comme je n'ai pas trouvé de rubrique adéquate, je jette mon dévolu sur celle-ci
J'ai donc quelques questions pratiques sur SSL.
Je vais créer une partie membre sur le site dont je m'occupe. C'est celui d'une collectivité locale et la CNIL est particulièrement tatillonne sur la sécurité des données.
A partir de quand la connexion doit-elle être sécurisée ?
J'aurais un fomulaire de connexion sur la page d'accueil.
J'ai trouvé 2 écoles: Gmail passe en HTTPS dès l'arrivée sur le formulaire, et Alapage après le clic sur le bouton de soumission.
Avec Ethéréal j'ai observé que la seconde solution permettait de crypter les données. Mais quelle est la meilleure option ?
Seconde question: dès lors que je suis connecté sous mon pseudo, est-ce que la connexion SSL doit durer tout le temps de la connexion, ou est-ce qu'elle peut être restreinte aux pages demandant l'apparition et/ou la soumission de données sensibles ?
En gros sur les pages neutres on repasse en HTTP et dès qu'on arrive sur une page membre on repasse en HTTPS.
La config du site: Apache 2 avec mod_ssl, PHP 5.1.2. L'espace membre est géré en HTTP avec des variables de session pour le moment, peut être des cookies par la suite pour satisfaire le maximum d'internautes.
