Bonjour, cliquez-ici pour vous inscrire et participer au forum.
  • Login:



+ Répondre à la discussion
Page 1 sur 2 1 DernièreDernière
Affichage des résultats 1 à 30 sur 38

Futura et https

  1. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 383

    Futura et https

    Bonjour,

    Pourquoi le site futura-sciences, et notamment la partie forum qui a un accès login/mdp, n'a pas de certificat SSL et n'est donc pas servie en https ?

    Merci.

    -----

     


    • Publicité



  2. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    185

    Re : Futura et https

    Citation Envoyé par BioBen Voir le message
    Bonjour,

    Pourquoi le site futura-sciences, et notamment la partie forum qui a un accès login/mdp, n'a pas de certificat SSL et n'est donc pas servie en https ?

    Merci.
    Bonjour, j’ai déjà fait la remarque (cela fait plus d’un mois.)

    Mais personne n’a rien dit.

    Visiblement, la sécurité les données de leur membres ils en on pas grand à faire…
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     

  3. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 383

    Re : Futura et https

    Disons que c'est étonnant d'avoir toute une partie du forum consacré à la sécurité informatique et de ne pas être en https.

    Surtout qu'un certificat SSL c'est gratuit et qu'en 30mins c'est fait.
     

  4. saveus

    Date d'inscription
    janvier 2017
    Messages
    67

    Re : Futura et https

    Citation Envoyé par BioBen Voir le message
    Surtout qu'un certificat SSL c'est gratuit et qu'en 30mins c'est fait.

    Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....
    Un petit exemple de prix :https://www.thawte.fr/ssl/

    De plus je ne vois pas l’intérêt sur un forum de sécuriser le flux http....

    Vu que ni ton nom ni ton prénom ni ton adresse ne sont demandé a l'inscription ,la seule info plus ou moins utile a un pirate est ton email ,et je dis plus ou moins car perso si on me volais mon adresse courriel sur le site ça ne serrais pas une catastrophe nationale , je recevrais un peu plus de spam que habitude c'est tout.

    De plus le https ne protège pas contre les failles SQL , page de phising , détournement de DNS et autre.... nettement plus utiliser récupérer ce genre d'information...

    Pour passer au https encore faut il que le moteur du forum le supporte , ce qui est loin d’être le cas de tout les moteurs de forum.


    Enfin être en HTTP veut dire que pour , "sniffer" ton user/password en http entre chez toi et le le site de futura , il faut intercaler un ordinateur avec un logiciel type Wireshark sur le parcours , ou pouvoir récupérer le flux HTTP...
    Un technicien de ton opérateur pourrais éventuellement le faire , mais en général il ont autre chose a faire , et pas forcement l'envie d’être renvoyé....
    ou alors rentrer chez toi et mettre une borne wifi fantôme; mais bon , si on arrive a pénétrer chez toi il y as peu être des chose plus intéressantes a récupérer que ton accès a Fututa forums...


    la sécurité c'est bien , mais encore faut il qu'il y ai quelque chose a sécuriser....
     

  5. Bluedeep

    Date d'inscription
    décembre 2013
    Localisation
    Isère
    Âge
    56
    Messages
    6 847

    Re : Futura et https

    Citation Envoyé par saveus Voir le message
    Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....
    Un petit exemple de prix :https://www.thawte.fr/ssl/

    De plus je ne vois pas l’intérêt sur un forum de sécuriser le flux http.....
    Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.
     


    • Publicité



  6. saveus

    Date d'inscription
    janvier 2017
    Messages
    67

    Re : Futura et https

    Citation Envoyé par Bluedeep Voir le message
    Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.
    oui et ? comme l'explique le reste de mon post , quel est l’intérêt de le sécuriser , vu qu’il n y as aucune données sensible.
    Tu peu aussi mettre un garde armé avec fouille au corps et détecteur de métaux a la fête d’anniversaire de ton gamin de 5 ans pour assurer la securité… intérêt ??
     

  7. Bluedeep

    Date d'inscription
    décembre 2013
    Localisation
    Isère
    Âge
    56
    Messages
    6 847

    Re : Futura et https

    Citation Envoyé par saveus Voir le message
    oui et ? comme l'explique le reste de mon post , quel est l’intérêt de le sécuriser , vu qu’il n y as aucune données sensible.
    Beaucoup de gens utilise des MDP communs à plusieurs login (pas moi).

    Tu peu aussi mettre un garde armé avec fouille au corps et détecteur de métaux a la fête d’anniversaire de ton gamin de 5 ans pour assurer la securité… intérêt ??
    Comparaison ridicule.
     

  8. saveus

    Date d'inscription
    janvier 2017
    Messages
    67

    Re : Futura et https

    Citation Envoyé par Bluedeep Voir le message
    Beaucoup de gens utilise des MDP communs à plusieurs login (pas moi).
    Et donc vu que les gens qui vont sur un forum de sécurité internet ne sont pas capables d’avoir plusieurs mots de passe (sachant qu’il existe une procédure de renvoi par mail en cas d’oubli de password ).
    C’est aux possesseurs du forum qui payent déjà pour le nom de domaine , et éventuellement l'hébergement ,et qui fournissent déjà un moyen d’expression totalement gratuit (merci a eux ) de payer en plus un certificat SSL a 169 € pour palier a la sécurité d'éventuels utilisateurs incapables d'avoir plus d'un mot de passe.... Quel générosité...

    (je suis sur que si tu veut faire un don pour le certificat les possesseurs de futura-sciences.com serrons plus que ravis )

    J'en reviens a mon exemple de grade armé, pas si ridicule que ça; utile pour une bijouterie (ou en l’occurrence du https pour un site de paiement sécurisé); mais pas pour une fête d’anniversaire (un forum) .
     

  9. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    185

    Re : Futura et https

    Citation Envoyé par saveus
    Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....
    Bonjour,

    Je pense que beaucoup le savent que tout à un prix dans la vie.

    Mais bon tout de même faudrait savoir ce mettre à la page en matière de sécurité, non vous ne trouvez pas?

    C’est un peut comme les gens qui dans 5 ou 10 utilisent toujours windows 7 alors que les maj de sécurité ne ce font plus pour celui ci.

    (Informations ici http://www.silicon.fr/plus-mises-a-j...es-172361.html.)

    Le mieux à mon humble avis c'est de passer sur une distribution linux.

    Concernant les tarifs, je dirais qu’il suffit juste de prendre le temps de chercher et de comparer.
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     

  10. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    185

    Re : Futura et https

    Citation Envoyé par saveus Voir le message
    oui et ? comme l'explique le reste de mon post , quel est l’intérêt de le sécuriser , vu qu’il n y as aucune données sensible.
    Tu peu aussi mettre un garde armé avec fouille au corps et détecteur de métaux a la fête d’anniversaire de ton gamin de 5 ans pour assurer la securité… intérêt ??
    Je rejoint ce que dis bluedeep, il à raison.

    Si pour toi des données sensibles c’est justes les adresses, les numéros de téléphones et de carte bleu!

    Moi je dirais q’une adresse mail ainsi que le mdp qui lui est associer, cela aussi dois rester du domaine privé.

    Donc un webmaster est censée tout faire justement pour protéger nos données.

    Tu sais, avec une bonne worldlist mail plus mdp on peut faire pas mal de chose.
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     

  11. pm42

    Date d'inscription
    juillet 2015
    Messages
    4 548

    Re : Futura et https

    Citation Envoyé par Bluedeep Voir le message
    Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.
    Tu es sur ? Le code est :

    Code:
    <form action="login.php?do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5password, vb_login_md5password_utf, 0)"
    Donc la sécurité n'est pas énorme, on peut imaginer qu'un site se fasse passer pour FS afin de récupérer des mots de passe ou que quelqu'un fasse une attaque sur le md5 pour se faire passer pour un des membres mais je n'ai pas l'impression que c'est si critique que ça...
     

  12. Freemaster

    Date d'inscription
    octobre 2016
    Localisation
    Lille
    Messages
    285

    Re : Futura et https

    Citation Envoyé par CyberGhost Voir le message
    Concernant les tarifs, je dirais qu’il suffit juste de prendre le temps de chercher et de comparer.
    gandi.net est beaucoup moins cher que thawte.fr, actuellement je paye 144€ pour un ssl wildcard... ce n'est pas pour un site de e-commerce non plus

    sinon j'utilise let's encrypt pour des clients qui ne veulent pas dépenser beaucoup
    c'est gratuit, facile à mettre en place, auto-renouvelable, et reconnu par les principaux navigateurs (peut être tous, je ne peux l'affirmer)
    et en plus la migration http vers https se fait de manière transparente, et sans interruption de service (juste un reload d'apache)
    avec le mod rewrite, un lien en http se transforme en https, donc pas de souci de lien brisé...
    et en plus accessible en ipv6 également
    o_O
     

  13. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 383

    Re : Futura et https

    Citation Envoyé par saveus Voir le message
    Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....
    Un petit exemple de prix :https://www.thawte.fr/ssl/
    Un certifcat let's encrypt c'est gratuit : https://letsencrypt.org/
    Inutile d'avoir un truc plus compliqué pour un forum.

    Sur l'intérêt du https, ils sont nombreux (mots de passes récupérés en clair, exécution de code coté client dans une attaque MITM, etc.)

    Ah et pour rappel Futura n'est pas un forum de sécurité informatique, c'est un forum grand public de vulgarisation scientifique.
     

  14. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 383

    Re : Futura et https

    Citation Envoyé par pm42
    Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.
    Tu es sur ? Le code est :
    Bah oui, puisque ça c'est le code de Futura.
    Dans une attaque MITM, le client est connecté chez toi et pas sur futura.
    Donc tu reçois login+password en clair, tu envoies login+password d'une part vers Futura pour que ce soit hashé et stocké et que l'utilisateur n'y voit que du feu en étant bien inscrit, ET D'AUTRE PART vers ta base où c'est stocké en clair .
     

  15. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    185

    Re : Futura et https

    Citation Envoyé par BioBen Voir le message
    Bah oui, puisque ça c'est le code de Futura.
    Dans une attaque MITM, le client est connecté chez toi et pas sur futura.
    Donc tu reçois login+password en clair, tu envoies login+password d'une part vers Futura pour que ce soit hashé et stocké et que l'utilisateur n'y voit que du feu en étant bien inscrit, ET D'AUTRE PART vers ta base où c'est stocké en clair .
    En plus du md5 (attention c'est du sacré lourd comme cryptage.)
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     

  16. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    185

    Re : Futura et https

    En faite moi ce qui me fait délirer, c’est les gens (d’une manière générale) qui créent des sites que ce soit forum ou peut importe!

    Pour la création, ils se posent la mais pour amélioré la sécurité de celui ci quand il faut mettre la main à la poche bah ils font les crabes, les pinces, les serrures et bizarrement indirectement il préfèrent que les données de leur utilisateurs soit piratés.

    Après, d’un point de vue juridique, je ne sait pas trop comment cela peut ce passé dans le contexte ou si un utilisateur ce fait volées ses données dans la bdd d’un site?

    Car pour moi quand on laissent nos données dans la bdd d’un site, c’est que l’ont fait confiance à la personne qui à créer celui ci.
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     

  17. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    185

    Re : Futura et https

    Citation Envoyé par Freemaster Voir le message
    gandi.net est beaucoup moins cher que thawte.fr, actuellement je paye 144€ pour un ssl wildcard... ce n'est pas pour un site de e-commerce non plus

    sinon j'utilise let's encrypt pour des clients qui ne veulent pas dépenser beaucoup
    c'est gratuit, facile à mettre en place, auto-renouvelable, et reconnu par les principaux navigateurs (peut être tous, je ne peux l'affirmer)
    et en plus la migration http vers https se fait de manière transparente, et sans interruption de service (juste un reload d'apache)
    avec le mod rewrite, un lien en http se transforme en https, donc pas de souci de lien brisé...
    et en plus accessible en ipv6 également
    Bonsoir Free,

    T’inquiètes, je sais que d’autres sont beaucoup moins chers!

    Par contre Saveus lui, ni va pas avec le dos de la cuillère dans le sens ou il met le lien d'un site qui propose des tarifs exorbitants comme 655 euros l’année pour un ssl wilcard (rien à voir avec le tarif que tu as affiché.)
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     

  18. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 383

    Re : Futura et https

    Citation Envoyé par CyberGhost Voir le message
    En plus du md5 (attention c'est du sacré lourd comme cryptage.)
    Déjà au moins ils sont hashés ^^.
    Une bataille à la fois, mais vu le nombre de bdd non hashées ou hashées en md5, ça ne sera pas mon combat.

    Pour la création, ils se posent la mais pour amélioré la sécurité de celui ci quand il faut mettre la main à la poche bah ils font les crabes, les pinces, les serrures et bizarrement indirectement il préfèrent que les données de leur utilisateurs soit piratés.
    A nouveau un certificat SSL Letsencrypt c'est gratuit. J'en ai pour tous mes sites persos, projets et pros.
    Et l'installer ou le faire installer sur un site ça prend moins d'une heure.
    D'où mon questionnement initial.
     

  19. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    185

    Re : Futura et https

    Citation Envoyé par BioBen Voir le message
    Bonjour,

    Pourquoi le site futura-sciences, et notamment la partie forum qui a un accès login/mdp, n'a pas de certificat SSL et n'est donc pas servie en https ?

    Merci.
    Beaucoup ici utilisent encore windows 7 et comme la dis un membre dans un autre topic si le site passe en https ya pas mal de membres qui ne pourront plus se connecter.
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     

  20. saveus

    Date d'inscription
    janvier 2017
    Messages
    67

    Re : Futura et https

    Citation Envoyé par CyberGhost Voir le message

    Mais bon tout de même faudrait savoir ce mettre à la page en matière de sécurité, non vous ne trouvez pas?
    Mmm perso j ai installé mon premier certificat SSL publique pour un site d'un client avec paiement en ligne en 1997.
    donc je suis a la page depuis un certain temps je pense…


    Citation Envoyé par CyberGhost Voir le message
    Si pour toi des données sensibles c’est justes les adresses, les numéros de téléphones et de carte bleu!
    .
    un email n’ai ni une donnée sensible ni une donnée personnel sauf si ton email contient
    expressement nom.prenom

    definition de la CNIL...
    http://www.cil.cnrs.fr/CIL/spip.php?article1574

    pour de plus ample détails*:
    http://www.cgv-pro.fr/declaration-cnil


    de plus vu que ton email n’est pas publié a coté de ton pseudo et sert uniquement a l’administration du site. Ça net en rien une donnée publique.


    Citation Envoyé par BioBen Voir le message
    Un certificat c'est gratuit : https://letsencrypt.org/
    Inutile d'avoir un truc plus compliqué pour un forum.
    sauf qu’un certificat let's encrypt ou gandi ne sont pas des certificat SSL CA mais juste opérateur de certificat..

    C’est a dire que let's encrypt fait valider ces certificats par une autorité de certification Identrust en l’occurrence

    En gros twaute se fait voler ces certificat tu as 1,25 million d'USD (dollar US) de dédommagement. (voir le comparatif de prix en lien plus haut) ;
    let's encrypt se fait voler ses certificats tu as… les yeux pour pleurer.


    Il va se sois que twaute ou Identrust on une sécurité avec un cahier des charge bien élevé que chez let's encrypt; serveur redondant , cryptage des disque dur des serveur de certificats etc....

    Chez un let's encrypt; la sécurité est au bon vouloir de let's encrypt.
    Rien ne te garantie qu’un employé ne va pas s’en aller avec la bdd des certificats , ou que le stagiaire ne va pas faire une mise a jour du systeme en pleine journée….

    Donc quitte a être paranoïaque et faire du HTTPS sur un formulaire d'inscription , autant l'etre jusque haut bout et en faire du vraiment sécurisé….
     

  21. JPL

    Date d'inscription
    septembre 2003
    Messages
    69 141

    Re : Futura et https

    Citation Envoyé par CyberGhost Voir le message
    Beaucoup ici utilisent encore windows 7 et comme la dis un membre dans un autre topic si le site passe en https ya pas mal de membres qui ne pourront plus se connecter.
    Tu m'explique ? Parce que quand j'avais Windows 7 je n'ai jamais eu aucun problème avec les sites en https. C'est quoi cette histoire ?
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
     

  22. saveus

    Date d'inscription
    janvier 2017
    Messages
    67

    Re : Futura et https

    Citation Envoyé par saveus Voir le message
    sauf qu’un certificat let's encrypt ou gandi ne sont pas des certificat SSL CA mais juste opérateur de certificat..
    petite rectification de phrase pas claire , vu que j ai dépassé les 5 mn fatidique de ré-édition ;

    lire
    "sauf qu’un certificat let's encrypt ou gandi n'est pas un certificat SSL CA mais juste un certificat SSL fourni par un opérateur de certificat."
    Dernière modification par saveus ; 21/04/2017 à 21h45.
     

  23. JPL

    Date d'inscription
    septembre 2003
    Messages
    69 141

    Re : Futura et https

    Désolé BioBen, tu avais mis ton message en doublon. J'en ai approuvé un et supprimé le doublon mais il semble que les deux ont disparu. Pourrais-tu le poster à nouveau.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
     

  24. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 383

    Re : Futura et https

    @saveus : Let's encrypt est une Certificate Authority, il faut vous mettre à jour. Soutenue par la plupart des acteurs du web.
    https://en.wikipedia.org/wiki/Let%27s_Encrypt
     

  25. LeMulet

    Date d'inscription
    septembre 2016
    Âge
    50
    Messages
    998

    Re : Futura et https

    Franchement le HTTPS c'est de la gniogniote à côte de ce qui peut arriver à Futura.
    Il suffit d'imaginer ce qu'un utilisateur malveillant pourrait faire des "anniversaires du jour" affichés journellement lorsqu'il aurait la liste annuelle...
    Je dis ça , je dis rien.
    Bonjour, et Merci.
     

  26. Freemaster

    Date d'inscription
    octobre 2016
    Localisation
    Lille
    Messages
    285

    Re : Futura et https

    Citation Envoyé par JPL Voir le message
    Tu m'explique ? Parce que quand j'avais Windows 7 je n'ai jamais eu aucun problème avec les sites en https. C'est quoi cette histoire ?
    j'ai encore beaucoup de client en windows 7, et pas de problème avec le https, comprends pas trop non plus cette remarque
    o_O
     

  27. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 383

    Re : Futura et https

    @ JPL : je ne sais pas comment se passe l'interaction entre modérateurs et responsables de forum, mais sais-tu si ma question initiale est remontée aux responsables et s'il existe une réponse à celle ci (difficulté technique ? coût ? inutilité ? etc.).

    Merci.
     

  28. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    185

    Re : Futura et https

    Citation Envoyé par LeMulet Voir le message
    Franchement le HTTPS c'est de la gniogniote à côte de ce qui peut arriver à Futura.
    Il suffit d'imaginer ce qu'un utilisateur malveillant pourrait faire des "anniversaires du jour" affichés journellement lorsqu'il aurait la liste annuelle...
    Je dis ça , je dis rien.
    XPTDR tu m’as dead...
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     

  29. JPL

    Date d'inscription
    septembre 2003
    Messages
    69 141

    Re : Futura et https

    Citation Envoyé par BioBen Voir le message
    @ JPL : je ne sais pas comment se passe l'interaction entre modérateurs et responsables de forum, mais sais-tu si ma question initiale est remontée aux responsables et s'il existe une réponse à celle ci (difficulté technique ? coût ? inutilité ? etc.).
    Cela avait été évoqué spontanément par le grand chef dans un échange de mail avec moi bien avant que cette discussion soit ouverte ici, non pas pour le forum seul mais pour l'ensemble du site, bien avant que cette discussion démarre ici.

    En effet l'inscription s'étend à la fois au forum et au reste du site et il était évoqué l'hypothèse de passer tout le site et pas uniquement la phase de login en https (comme le fait Wikipedia par exemple). Mais il est probable que ceux qui assurent la maintenance du site sont principalement focalisés sur la migration du forum vers un autre support que vBulletin. Or il semble que ce soit plus compliqué que prévu parce que la date envisagée a été dépassée depuis longtemps.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
     

  30. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    185

    Re : Futura et https

    Citation Envoyé par Freemaster Voir le message
    j'ai encore beaucoup de client en windows 7, et pas de problème avec le https, comprends pas trop non plus cette remarque
    C’est un membre qui à dis que cela pourrais causer des soucis lors de la connexion, pour ma part je ne confirme rien du tout.

    Par contre ce que je constate c’est que quand on tape dans Google «problèmes certificats ssl sous windows 7» (même sur les forums anglophones.)

    C’est que beaucoup de personnes rencontre ce genre de problème.

    Voici un lien intéressant, ici https://wpchannel.com/point-certific...gatoires-2017/
    Dernière modification par CyberGhost ; 22/04/2017 à 11h36.
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     


    • Publicité







Sur le même thème :





 

Discussions similaires

  1. D'où en est la faille sur //https?
    Par abracadabra75 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 4
    Dernier message: 21/04/2014, 17h37
  2. sites HTTPS inaccesibles
    Par diegovinc dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 0
    Dernier message: 22/08/2011, 16h51
  3. Facebook en Https?
    Par yoda1234 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 23
    Dernier message: 19/02/2011, 08h42