Как сделать переадресацию только 1 страницы на HTTPS, остальные на HTTP?

Question

[Александр]

Добрый вечер!
Имеются следующие параметр в .htaccess

DirectoryIndex index.php
ErrorDocument 404 /404.html
RewriteEngine On

RewriteRule ^basket$ /basket/ [R=301,L]
RewriteRule ^login$ /login/ [R=301,L]
RewriteRule ^reg$ /reg/ [R=301,L]
# Редиректы
RewriteRule ^basket/(.*)$ index.php?do=static&page=basket [L]
RewriteRule ^login/(.*)$ index.php?do=static&page=login [L]
RewriteRule ^reg/(.*)$ index.php?do=static&page=reg [L]

Как сделать так, чтобы страницы /basket/, /login/ и /reg/ были доступны только по HTTPS протоколу и шла переадресация, если их вызывают по HTTP. А все остальные страницы только по HTTP, даже когда к ним обращаются по HTTPS.

Пример: как у М.Видео сделан личный кабинет, оформление заказа. Когда переходишь в личный кабинет по http протоколу, тебя перебрасывает на https. А когда от туда пользователь переходит на любую другую страницу по протоколу https, его обратно перекидывает на http

Спасибо!

Answer 1

[Артур К.]

Например, можно добавить RewriteCond.

#Перенаправлять на HTTPS
RewriteCond %{SERVER_PORT} !^443
RewriteRule ^basket/(.*)$ https://www.domain.com/index.php?do=static&page=basket [L]

#Перенаправлять на HTTP
RewriteCond %{SERVER_PORT} ^443
RewriteRule ^(.*)$ www.domain.com/$1 [L,QSA] #здесь укажите нужный урл перехода

Upd.1. Обратите внимание, что порядок правил важен. Т.к. второе правило охватывает все страницы, его нужно установить ниже.
В текущем примере, если первое условие сработает, то отработает первый редирект и дальше выполнение прекратится (благодаря индексу L).
Если условие не пройдет (человек не идет в корзину), то будет применяться второе "общее" условие.

Upd.2. Кстати, не совсем понятно, зачем это нужно? Если есть сертификат на сайт, то намного правильнее распространить его на все страницы, а не только на страницы с персональной информацией.
Вот к слову: Google повышает сайты с HTTPS в выдаче https://hab..., https://security.googleblog.com/2016/09/moving-tow...

Comments

[Александр]

Добрый день. Спасибо за ответ!

Сделал так:
RewriteRule ^basket$ /basket/ [R=301,L]

# Редиректы
RewriteRule ^basket/(.*)$ index.php?do=static&page=basket [L]

#Перенаправлять на HTTPS
RewriteCond %{SERVER_PORT} !^443
RewriteRule ^basket/(.*)$ https://домен.ру/index.php?do=static&page=basket [L]

#Перенаправлять на HTTP
RewriteCond %{SERVER_PORT} ^443
RewriteRule ^(.*)$ http://домен.ру/$1 [L,QSA] #здесь укажите нужный урл перехода

Но к сожалению когда осуществляется переход по адресу /basket/ нет переадресации на https. А если протокол сам подставляешь, то перекидывает на /index.php?do=static&page=basket а должно на /basket/

[Site Developer]

Вот к слову:

Вот к слову: Google НЕ повышает сайты с HTTPS в выдаче :)

[Site Developer]

Если есть сертификат на сайт, то намного правильнее распространить его на все страницы, а не только на страницы с персональной информацией.

Это фантазии секты свидетелей https. Правильнее НЕ использовать ничего лишнего (https втч) там, где это ненужно. А если использовать https, то давать юзеру выбор каким протоколом пользоваться.

[Артур К.]

AlexMatovnikov: правильно. система отрабатывает второе правило

RewriteRule ^basket/(.*)$ index.php?do=static&page=basket [L]

и прекращает работу (опять же, т.к. есть индекс L — https://httpd.apache.org/docs/current/rewrite/flag...

А в самом втором правиле нет перевода на HTTPS.

[Артур К.]

Site Developer: на мой взгляд это не принципиально и вот почему:
1) самый простой сертификат на год стоит ≈4$ (две кружки кофе, или одна в старбаксе).
2) профит: забора о вашем пользователе на протяжении всего обращения на сайт, а не только на страницах личного кабинета.
3) тенденция в целом такова, что интернеты стремятся к HTTPS — это не требует усилий и это безопасно.
Так зачем же сопротивляться такому хорошему движению?)

[Артур К.]

Site Developer:

А если использовать https, то давать юзеру выбор каким протоколом пользоваться.

вы ожидаете, что ваш юзер разбирается в технологиях?
Вопрос относится к контексту узких компетенций — ни один обыватель не знает что такое HTTPS или чем он отличается от HTTP, и, самое главное — не должен знать. Для этого есть целая армия ИТ-специалистов, которые существуют для обеспечения потребностей пользователя, а не наоборот.

На принципиальном уровне это выглядит примерно так:
Первая потребность пользователя — зайти на сайт и получить информацию.
Вторая потребность — быть в безопасности. Эта потребность может вызывать много вопросов, т.к. пользователь не знает ничего о потенциальных угрозах или не может оценить их эффект. Также как и вы не можете оценить угрозу от террористов только до тех пор, пока спецслужбы работают "в фоне" по их устранению. И к сожалению, как и в большинстве вопросов безопасности, объективную оценку НЕспециалист сможет дать только в том случае, если с ним случится какое-то происшествие.

Исходя из первоначального предпосыла о том, что ИТ-службы нужны для обеспечения потребностей пользователя (в обще-принципиальном смысле), пользователь не должен ничего не должен выбирать. Тем более протоколы, по которым ему будет загружаться его любимый сайт.

[Site Developer]

Артур Э.:
1. сертификат есть и бесплатный и зачастую это лучше платного. Но хуже нем неиспользования вообще.
2 и 3. это потери и риски. Как минимум доп. элемент в системе. Жизненно важный элемент, из-за поломок которого может пострадать сайт и юзер. И про простоту рассказывать ненужно - мало того, что весь интернет завален проблемами, так без них и монстры не обходятся.
i.imgur.com/wan4zt6.jpg
i.imgur.com/0Dwrh5q.jpg
i.imgur.com/iABMxah.jpg
i.imgur.com/I5OwDZc.jpg
И таких скринов у меня вагон подсобирался.

Далеко не все юзеры хотят юзать https. Те кто понимает что это такое всячески избегает, тк это для юзера расходы по трафу и скорости + нарушение ЛИЧНОЙ безопасности, тк нет возможности отследить что твориться в канале. Проще говоря - я не знаю что мне скачается по https. Кроме того, https офигенная засада для корп. сисадминов и расходы для конторы на ПО для мониторинга https (при это понижается общая безопасность). Отсюда - конторе проще заблокировать ресурс, чем отдельные документы.

Но справедливости ради - грамотных и беспокоящихся о собственной безопасности юзеров, которые мониторят свой траф, которых волнует экономия трафа и которые могут и знают об этом - ничтожно мало, а хомячов легко развести зелеными полосками и замочками в адр. строке браузера.

Ида. Вас разводят как кроликов

[Артур К.]

Site Developer,

Ида. Вас разводят как кроликов

теория заговора? о боже! мне не смогут показывать рекламу! никто, кроме гугла! омг!

Не мойму, зачем набрасывать дерьмо на вентилятор.
1) Человек спросил совета == человек не умеет обращаться с инструментом == делать сложные правила на площадку по включению HTTPS для отдельных сегментов для человека не тривиальная задача

2) Если гиганты толкают политику "HTTPS—надежно" и будут засирать остальные сайты ругательными сообщениями, то эти сообщения влияют на реакцию пользователя — это разве не очевидно?
Если каждый мой пользователь стоит мне денег (как минимум на привлечение), то в чем смысл пускать пузыри, если можно поставить сертификат и дальше работать на благо бизнеса.
Или может вы предлагаете поднять мировое восстание против HTTPS и гугла? Не без любопытства послушаю ваши конструктивные предложения.

...где ж мой попкорн