HTTPS dans une page HTTP
Répondre à la discussion
Affichage des résultats 1 à 4 sur 4

HTTPS dans une page HTTP



  1. #1
    Soadnemesis

    HTTPS dans une page HTTP


    ------

    Bonjour à tous,

    Une question bien naïve mais sur laquelle un doute subsiste et comme il y a pas de question idiote ... (il parait)

    Si j'accède à un site en HTTP et que celui-ci me demande mes login/mot de passe, ceux-ci sont-ils forcement envoyés en clair au serveur ?
    Ne pourrait-on pas imaginer une iframe en HTTPS par exemple ? En tous les cas cela est visible dans le code source de la page ?

    Le site en question est accessible en HTTPS et en HTTP et je cherche à confirmer que si j'accède en HTTP mon authentification n'est effectivement pas chiffrée (sans utiliser Wireshark).

    D'avance, merci de votre réponse.

    Cordialement

    -----
    Dernière modification par Soadnemesis ; 19/02/2014 à 14h34.

  2. #2
    PA5CAL

    Re : HTTPS dans une page HTTP

    Bonjour
    Citation Envoyé par Soadnemesis Voir le message
    Si j'accède à un site en HTTP et que celui-ci me demande mes login/mot de passe, ceux-ci sont-ils forcement envoyés en clair au serveur ?
    Non, pas forcément.

    C'est le protocole utilisé pour la réponse qui déterminera la façon dont les informations seront envoyées. Si par exemple le paramètre "action" du formulaire contenant les champs de saisie du login et du mot de passe spécifie une adresse en « https:// », les informations ne seront pas transmises en clair sur le réseau.

  3. #3
    Soadnemesis

    Re : HTTPS dans une page HTTP

    Bonjour et merci de votre réponse.

    Nous sommes d'accords dans tous les cas cela est visible dans le code source de la page d'authentification. Dans mon cas il s'agit simplement d'un "action = cgi-bin/access.cgi" et comme rien de spécifie le HTTPS par défaut la requête est probablement fonction du protocole utilisé par la page en cours. HTTPS si je me connecte par ssl ou http dans le cas contraire ?

  4. #4
    PA5CAL

    Re : HTTPS dans une page HTTP

    Citation Envoyé par Soadnemesis Voir le message
    comme rien de spécifie le HTTPS par défaut la requête est probablement fonction du protocole utilisé par la page en cours.
    L'URI est censé commencer par l'acronyme du protocole utilisé (http:// https:// file:// ...).

    De même que dans des cas précis on peut se permettre de ne pas spécifier l'adresse du serveur (www.monsite.com), la racine (/) pour une adresse relative, ou le dossier local quand on n'en change pas, voire le nom de la ressource quand on utilise un lien local (#), omettre le protocole pour reprendre celui déjà utilisé reste une possibilité, mais ne constitue pas le cas général et ne doit être envisagé sans une bonne raison.

    L'URI de la réponse dans le paramètre "action" doit a priori être écrit sous la forme https://www.monsite.com/cgi-bin/access.cgi , sauf si le navigateur reprend l'URI de la page courante pour compléter les parties non spécifiées. (De plus, le serveur atteint doit effectivement répondre au protocole HTTPS sur le port correspondant, soit 443 par défaut, à une adresse IP unique, en utilisant un certificat SSL valide délivré par une Certificate Authority).

    Comme l'utilisation du protocole utilisé repose sur le navigateur, il est toujours préférable de spécifier le protocole lorsque cela revêt une importance capitale. En théorie, le navigateur devrait reprend le protocole utilisé pour la page courante si ce dernier n'est pas indiqué dans l'URI de la réponse. Mais c'est encore mieux quand on le précise explicitement (cela peut parfois éviter quelques mauvaises surprises).
    Dernière modification par PA5CAL ; 20/02/2014 à 01h13.

  5. A voir en vidéo sur Futura

Discussions similaires

  1. Https://www.paypal-community.com
    Par zirko1 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 0
    Dernier message: 09/02/2014, 05h29
  2. sites HTTPS inaccesibles
    Par invitef932007b dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 0
    Dernier message: 22/08/2011, 17h51
  3. Facebook en Https?
    Par yoda1234 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 23
    Dernier message: 19/02/2011, 09h42
  4. Wireshark : tracer des requètes https
    Par Philou67 dans le forum Logiciel - Software - Open Source
    Réponses: 8
    Dernier message: 13/12/2010, 16h24
Découvrez nos comparatifs produits sur l'informatique et les technologies.