HTTPS dans une page HTTP

[invited308680e]

Bonjour à tous,

Une question bien naïve mais sur laquelle un doute subsiste et comme il y a pas de question idiote ... (il parait)

Si j'accède à un site en HTTP et que celui-ci me demande mes login/mot de passe, ceux-ci sont-ils forcement envoyés en clair au serveur ?
Ne pourrait-on pas imaginer une iframe en HTTPS par exemple ? En tous les cas cela est visible dans le code source de la page ?

Le site en question est accessible en HTTPS et en HTTP et je cherche à confirmer que si j'accède en HTTP mon authentification n'est effectivement pas chiffrée (sans utiliser Wireshark).

D'avance, merci de votre réponse.

Cordialement
-----

[invite936c567e]

Bonjour

Si j'accède à un site en HTTP et que celui-ci me demande mes login/mot de passe, ceux-ci sont-ils forcement envoyés en clair au serveur ?

Non, pas forcément.

C'est le protocole utilisé pour la réponse qui déterminera la façon dont les informations seront envoyées. Si par exemple le paramètre "action" du formulaire contenant les champs de saisie du login et du mot de passe spécifie une adresse en « https:// », les informations ne seront pas transmises en clair sur le réseau.

[invited308680e]

Bonjour et merci de votre réponse.

Nous sommes d'accords dans tous les cas cela est visible dans le code source de la page d'authentification. Dans mon cas il s'agit simplement d'un "action = cgi-bin/access.cgi" et comme rien de spécifie le HTTPS par défaut la requête est probablement fonction du protocole utilisé par la page en cours. HTTPS si je me connecte par ssl ou http dans le cas contraire ?

[invite936c567e]

comme rien de spécifie le HTTPS par défaut la requête est probablement fonction du protocole utilisé par la page en cours.

L'URI est censé commencer par l'acronyme du protocole utilisé (http:// https:// file:// ...).

De même que dans des cas précis on peut se permettre de ne pas spécifier l'adresse du serveur (www.monsite.com), la racine (/) pour une adresse relative, ou le dossier local quand on n'en change pas, voire le nom de la ressource quand on utilise un lien local (#), omettre le protocole pour reprendre celui déjà utilisé reste une possibilité, mais ne constitue pas le cas général et ne doit être envisagé sans une bonne raison.

L'URI de la réponse dans le paramètre "action" doit a priori être écrit sous la forme https://www.monsite.com/cgi-bin/access.cgi , sauf si le navigateur reprend l'URI de la page courante pour compléter les parties non spécifiées. (De plus, le serveur atteint doit effectivement répondre au protocole HTTPS sur le port correspondant, soit 443 par défaut, à une adresse IP unique, en utilisant un certificat SSL valide délivré par une Certificate Authority).

Comme l'utilisation du protocole utilisé repose sur le navigateur, il est toujours préférable de spécifier le protocole lorsque cela revêt une importance capitale. En théorie, le navigateur devrait reprend le protocole utilisé pour la page courante si ce dernier n'est pas indiqué dans l'URI de la réponse. Mais c'est encore mieux quand on le précise explicitement (cela peut parfois éviter quelques mauvaises surprises).

[A voir en vidéo sur Futura]