Bonjour, cliquez-ici pour vous inscrire et participer au forum.
  • Login:



+ Répondre à la discussion
Page 1 sur 3 12 DernièreDernière
Affichage des résultats 1 à 15 sur 38

Futura et https

  1. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 167

    Futura et https

    Bonjour,

    Pourquoi le site futura-sciences, et notamment la partie forum qui a un accès login/mdp, n'a pas de certificat SSL et n'est donc pas servie en https ?

    Merci.

    -----

     


    • Publicité



  2. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    150

    Re : Futura et https

    Citation Envoyé par BioBen Voir le message
    Bonjour,

    Pourquoi le site futura-sciences, et notamment la partie forum qui a un accès login/mdp, n'a pas de certificat SSL et n'est donc pas servie en https ?

    Merci.
    Bonjour, j’ai déjà fait la remarque (cela fait plus d’un mois.)

    Mais personne n’a rien dit.

    Visiblement, la sécurité les données de leur membres ils en on pas grand à faire…
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     

  3. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 167

    Re : Futura et https

    Disons que c'est étonnant d'avoir toute une partie du forum consacré à la sécurité informatique et de ne pas être en https.

    Surtout qu'un certificat SSL c'est gratuit et qu'en 30mins c'est fait.
     

  4. saveus

    Date d'inscription
    janvier 2017
    Messages
    67

    Re : Futura et https

    Citation Envoyé par BioBen Voir le message
    Surtout qu'un certificat SSL c'est gratuit et qu'en 30mins c'est fait.

    Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....
    Un petit exemple de prix :https://www.thawte.fr/ssl/

    De plus je ne vois pas l’intérêt sur un forum de sécuriser le flux http....

    Vu que ni ton nom ni ton prénom ni ton adresse ne sont demandé a l'inscription ,la seule info plus ou moins utile a un pirate est ton email ,et je dis plus ou moins car perso si on me volais mon adresse courriel sur le site ça ne serrais pas une catastrophe nationale , je recevrais un peu plus de spam que habitude c'est tout.

    De plus le https ne protège pas contre les failles SQL , page de phising , détournement de DNS et autre.... nettement plus utiliser récupérer ce genre d'information...

    Pour passer au https encore faut il que le moteur du forum le supporte , ce qui est loin d’être le cas de tout les moteurs de forum.


    Enfin être en HTTP veut dire que pour , "sniffer" ton user/password en http entre chez toi et le le site de futura , il faut intercaler un ordinateur avec un logiciel type Wireshark sur le parcours , ou pouvoir récupérer le flux HTTP...
    Un technicien de ton opérateur pourrais éventuellement le faire , mais en général il ont autre chose a faire , et pas forcement l'envie d’être renvoyé....
    ou alors rentrer chez toi et mettre une borne wifi fantôme; mais bon , si on arrive a pénétrer chez toi il y as peu être des chose plus intéressantes a récupérer que ton accès a Fututa forums...


    la sécurité c'est bien , mais encore faut il qu'il y ai quelque chose a sécuriser....
     

  5. Bluedeep

    Date d'inscription
    décembre 2013
    Localisation
    Isère
    Âge
    56
    Messages
    6 636

    Re : Futura et https

    Citation Envoyé par saveus Voir le message
    Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....
    Un petit exemple de prix :https://www.thawte.fr/ssl/

    De plus je ne vois pas l’intérêt sur un forum de sécuriser le flux http.....
    Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.
     


    • Publicité



  6. saveus

    Date d'inscription
    janvier 2017
    Messages
    67

    Re : Futura et https

    Citation Envoyé par Bluedeep Voir le message
    Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.
    oui et ? comme l'explique le reste de mon post , quel est l’intérêt de le sécuriser , vu qu’il n y as aucune données sensible.
    Tu peu aussi mettre un garde armé avec fouille au corps et détecteur de métaux a la fête d’anniversaire de ton gamin de 5 ans pour assurer la securité… intérêt ??
     

  7. Bluedeep

    Date d'inscription
    décembre 2013
    Localisation
    Isère
    Âge
    56
    Messages
    6 636

    Re : Futura et https

    Citation Envoyé par saveus Voir le message
    oui et ? comme l'explique le reste de mon post , quel est l’intérêt de le sécuriser , vu qu’il n y as aucune données sensible.
    Beaucoup de gens utilise des MDP communs à plusieurs login (pas moi).

    Tu peu aussi mettre un garde armé avec fouille au corps et détecteur de métaux a la fête d’anniversaire de ton gamin de 5 ans pour assurer la securité… intérêt ??
    Comparaison ridicule.
     

  8. saveus

    Date d'inscription
    janvier 2017
    Messages
    67

    Re : Futura et https

    Citation Envoyé par Bluedeep Voir le message
    Beaucoup de gens utilise des MDP communs à plusieurs login (pas moi).
    Et donc vu que les gens qui vont sur un forum de sécurité internet ne sont pas capables d’avoir plusieurs mots de passe (sachant qu’il existe une procédure de renvoi par mail en cas d’oubli de password ).
    C’est aux possesseurs du forum qui payent déjà pour le nom de domaine , et éventuellement l'hébergement ,et qui fournissent déjà un moyen d’expression totalement gratuit (merci a eux ) de payer en plus un certificat SSL a 169 € pour palier a la sécurité d'éventuels utilisateurs incapables d'avoir plus d'un mot de passe.... Quel générosité...

    (je suis sur que si tu veut faire un don pour le certificat les possesseurs de futura-sciences.com serrons plus que ravis )

    J'en reviens a mon exemple de grade armé, pas si ridicule que ça; utile pour une bijouterie (ou en l’occurrence du https pour un site de paiement sécurisé); mais pas pour une fête d’anniversaire (un forum) .
     

  9. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    150

    Re : Futura et https

    Citation Envoyé par saveus
    Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....
    Bonjour,

    Je pense que beaucoup le savent que tout à un prix dans la vie.

    Mais bon tout de même faudrait savoir ce mettre à la page en matière de sécurité, non vous ne trouvez pas?

    C’est un peut comme les gens qui dans 5 ou 10 utilisent toujours windows 7 alors que les maj de sécurité ne ce font plus pour celui ci.

    (Informations ici http://www.silicon.fr/plus-mises-a-j...es-172361.html.)

    Le mieux à mon humble avis c'est de passer sur une distribution linux.

    Concernant les tarifs, je dirais qu’il suffit juste de prendre le temps de chercher et de comparer.
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     

  10. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    150

    Re : Futura et https

    Citation Envoyé par saveus Voir le message
    oui et ? comme l'explique le reste de mon post , quel est l’intérêt de le sécuriser , vu qu’il n y as aucune données sensible.
    Tu peu aussi mettre un garde armé avec fouille au corps et détecteur de métaux a la fête d’anniversaire de ton gamin de 5 ans pour assurer la securité… intérêt ??
    Je rejoint ce que dis bluedeep, il à raison.

    Si pour toi des données sensibles c’est justes les adresses, les numéros de téléphones et de carte bleu!

    Moi je dirais q’une adresse mail ainsi que le mdp qui lui est associer, cela aussi dois rester du domaine privé.

    Donc un webmaster est censée tout faire justement pour protéger nos données.

    Tu sais, avec une bonne worldlist mail plus mdp on peut faire pas mal de chose.
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     

  11. pm42

    Date d'inscription
    juillet 2015
    Messages
    3 350

    Re : Futura et https

    Citation Envoyé par Bluedeep Voir le message
    Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.
    Tu es sur ? Le code est :

    Code:
    <form action="login.php?do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5password, vb_login_md5password_utf, 0)"
    Donc la sécurité n'est pas énorme, on peut imaginer qu'un site se fasse passer pour FS afin de récupérer des mots de passe ou que quelqu'un fasse une attaque sur le md5 pour se faire passer pour un des membres mais je n'ai pas l'impression que c'est si critique que ça...
     

  12. Freemaster

    Date d'inscription
    octobre 2016
    Localisation
    Lille
    Messages
    179

    Re : Futura et https

    Citation Envoyé par CyberGhost Voir le message
    Concernant les tarifs, je dirais qu’il suffit juste de prendre le temps de chercher et de comparer.
    gandi.net est beaucoup moins cher que thawte.fr, actuellement je paye 144€ pour un ssl wildcard... ce n'est pas pour un site de e-commerce non plus

    sinon j'utilise let's encrypt pour des clients qui ne veulent pas dépenser beaucoup
    c'est gratuit, facile à mettre en place, auto-renouvelable, et reconnu par les principaux navigateurs (peut être tous, je ne peux l'affirmer)
    et en plus la migration http vers https se fait de manière transparente, et sans interruption de service (juste un reload d'apache)
    avec le mod rewrite, un lien en http se transforme en https, donc pas de souci de lien brisé...
    et en plus accessible en ipv6 également
    o_O
     

  13. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 167

    Re : Futura et https

    Citation Envoyé par saveus Voir le message
    Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....
    Un petit exemple de prix :https://www.thawte.fr/ssl/
    Un certifcat let's encrypt c'est gratuit : https://letsencrypt.org/
    Inutile d'avoir un truc plus compliqué pour un forum.

    Sur l'intérêt du https, ils sont nombreux (mots de passes récupérés en clair, exécution de code coté client dans une attaque MITM, etc.)

    Ah et pour rappel Futura n'est pas un forum de sécurité informatique, c'est un forum grand public de vulgarisation scientifique.
     

  14. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 167

    Re : Futura et https

    Citation Envoyé par pm42
    Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.
    Tu es sur ? Le code est :
    Bah oui, puisque ça c'est le code de Futura.
    Dans une attaque MITM, le client est connecté chez toi et pas sur futura.
    Donc tu reçois login+password en clair, tu envoies login+password d'une part vers Futura pour que ce soit hashé et stocké et que l'utilisateur n'y voit que du feu en étant bien inscrit, ET D'AUTRE PART vers ta base où c'est stocké en clair .
     

  15. CyberGhost

    Date d'inscription
    décembre 2016
    Localisation
    La ou je veux te faire croire...
    Messages
    150

    Re : Futura et https

    Citation Envoyé par BioBen Voir le message
    Bah oui, puisque ça c'est le code de Futura.
    Dans une attaque MITM, le client est connecté chez toi et pas sur futura.
    Donc tu reçois login+password en clair, tu envoies login+password d'une part vers Futura pour que ce soit hashé et stocké et que l'utilisateur n'y voit que du feu en étant bien inscrit, ET D'AUTRE PART vers ta base où c'est stocké en clair .
    En plus du md5 (attention c'est du sacré lourd comme cryptage.)
    "Some rules can be bent,others.... can be broken." (By Morpheus)
     


    • Publicité




Poursuivez votre recherche :




Sur le même thème :




 

Discussions similaires

  1. D'où en est la faille sur //https?
    Par abracadabra75 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 4
    Dernier message: 21/04/2014, 17h37
  2. sites HTTPS inaccesibles
    Par diegovinc dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 0
    Dernier message: 22/08/2011, 16h51
  3. Facebook en Https?
    Par yoda1234 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 23
    Dernier message: 19/02/2011, 08h42