Sécurisation des abonnements webcal avec https

Question

Je publie des URL webcal qui permettent aux utilisateurs de mon application Web de s'abonner à divers calendriers. Je crois comprendre que les applications qui reconnaissent les URL webcal seront par défaut http, mais j'aimerais sécuriser les transferts de fichiers avec https. La règle de réécriture apache suivante fonctionne, mais est-ce une solution appropriée?

RewriteEngine On 
RewriteCond %{HTTPS} !=on 
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L] 

Oui, tout ce domaine devrait être servi sur https. Je suis conscient que je pourrais substituer webcal avec https, mais alors je perdrais le bénéfice du schéma webcal URI (c'est-à-dire un simple abonnement). J'ai vu quelques webcals sur le web, mais il y a peu d'informations et l'iCal d'Apple ne l'aime pas.

Je prévois d'utiliser l'authentification de base avec ces calendriers. Y a-t-il un problème à faire d'abord une requête sur http puis à rediriger vers https?

Answer 1

Oui, il peut y avoir un problème: la requête initiale va être envoyée via HTTP, y compris les en-têtes et ainsi de suite.

Ce n'est pas nécessairement un problème si la requête initiale n'inclut pas les informations d'identification, puis la réponse à l'authentification HTTP Basic est envoyée uniquement dans la deuxième requête, qui correspond à l'URL HTTPS. Cependant, il est possible que certains clients utilisent une authentification préemptive, auquel cas les informations d'identification seraient envoyées (effectivement en clair) dans la première requête HTTP simple.

Comme je le disais dans this answer, la redirection de HTTP vers HTTPS ne fournit pas toujours autant de sécurité que l'on voudrait.

(En ce qui concerne webcal:// URL, je pense que certains clients prennent en charge le système webcals:// pour l'équivalent HTTPS.)