Futura et https

[BioBen]

Bonjour,

Pourquoi le site futura-sciences, et notamment la partie forum qui a un accès login/mdp, n'a pas de certificat SSL et n'est donc pas servie en https ?

Merci.
-----

[invite8490cb97]

Bonjour,

Pourquoi le site futura-sciences, et notamment la partie forum qui a un accès login/mdp, n'a pas de certificat SSL et n'est donc pas servie en https ?

Merci.

Bonjour, j’ai déjà fait la remarque (cela fait plus d’un mois.)

Mais personne n’a rien dit.

Visiblement, la sécurité les données de leur membres ils en on pas grand à faire…

[BioBen]

Disons que c'est étonnant d'avoir toute une partie du forum consacré à la sécurité informatique et de ne pas être en https.

Surtout qu'un certificat SSL c'est gratuit et qu'en 30mins c'est fait.

[inviteed6105a2]

Surtout qu'un certificat SSL c'est gratuit et qu'en 30mins c'est fait.

Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....
Un petit exemple de prix :https://www.thawte.fr/ssl/

De plus je ne vois pas l’intérêt sur un forum de sécuriser le flux http....

Vu que ni ton nom ni ton prénom ni ton adresse ne sont demandé a l'inscription ,la seule info plus ou moins utile a un pirate est ton email ,et je dis plus ou moins car perso si on me volais mon adresse courriel sur le site ça ne serrais pas une catastrophe nationale , je recevrais un peu plus de spam que habitude c'est tout.

De plus le https ne protège pas contre les failles SQL , page de phising , détournement de DNS et autre.... nettement plus utiliser récupérer ce genre d'information...

Pour passer au https encore faut il que le moteur du forum le supporte , ce qui est loin d’être le cas de tout les moteurs de forum.


Enfin être en HTTP veut dire que pour , "sniffer" ton user/password en http entre chez toi et le le site de futura , il faut intercaler un ordinateur avec un logiciel type Wireshark sur le parcours , ou pouvoir récupérer le flux HTTP...
Un technicien de ton opérateur pourrais éventuellement le faire , mais en général il ont autre chose a faire , et pas forcement l'envie d’être renvoyé....
ou alors rentrer chez toi et mettre une borne wifi fantôme; mais bon , si on arrive a pénétrer chez toi il y as peu être des chose plus intéressantes a récupérer que ton accès a Fututa forums...


la sécurité c'est bien , mais encore faut il qu'il y ai quelque chose a sécuriser....

[A voir en vidéo sur Futura]

[invite0bbe92c0]

Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....
Un petit exemple de prix :https://www.thawte.fr/ssl/

De plus je ne vois pas l’intérêt sur un forum de sécuriser le flux http.....

Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.

[inviteed6105a2]

Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.

oui et ? comme l'explique le reste de mon post , quel est l’intérêt de le sécuriser , vu qu’il n y as aucune données sensible.
Tu peu aussi mettre un garde armé avec fouille au corps et détecteur de métaux a la fête d’anniversaire de ton gamin de 5 ans pour assurer la securité… intérêt ??

[invite0bbe92c0]

oui et ? comme l'explique le reste de mon post , quel est l’intérêt de le sécuriser , vu qu’il n y as aucune données sensible.

Beaucoup de gens utilise des MDP communs à plusieurs login (pas moi).

Tu peu aussi mettre un garde armé avec fouille au corps et détecteur de métaux a la fête d’anniversaire de ton gamin de 5 ans pour assurer la securité… intérêt ??

Comparaison ridicule.

[inviteed6105a2]

Beaucoup de gens utilise des MDP communs à plusieurs login (pas moi).

Et donc vu que les gens qui vont sur un forum de sécurité internet ne sont pas capables d’avoir plusieurs mots de passe (sachant qu’il existe une procédure de renvoi par mail en cas d’oubli de password ).
C’est aux possesseurs du forum qui payent déjà pour le nom de domaine , et éventuellement l'hébergement ,et qui fournissent déjà un moyen d’expression totalement gratuit (merci a eux ) de payer en plus un certificat SSL a 169 € pour palier a la sécurité d'éventuels utilisateurs incapables d'avoir plus d'un mot de passe.... Quel générosité...

(je suis sur que si tu veut faire un don pour le certificat les possesseurs de futura-sciences.com serrons plus que ravis )

J'en reviens a mon exemple de grade armé, pas si ridicule que ça; utile pour une bijouterie (ou en l’occurrence du https pour un site de paiement sécurisé); mais pas pour une fête d’anniversaire (un forum) .

[invite8490cb97]

Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....

Bonjour,

Je pense que beaucoup le savent que tout à un prix dans la vie.

Mais bon tout de même faudrait savoir ce mettre à la page en matière de sécurité, non vous ne trouvez pas?

C’est un peut comme les gens qui dans 5 ou 10 utilisent toujours windows 7 alors que les maj de sécurité ne ce font plus pour celui ci.

(Informations ici http://www.silicon.fr/plus-mises-a-j...es-172361.html.)

Le mieux à mon humble avis c'est de passer sur une distribution linux.

Concernant les tarifs, je dirais qu’il suffit juste de prendre le temps de chercher et de comparer.

[invite8490cb97]

oui et ? comme l'explique le reste de mon post , quel est l’intérêt de le sécuriser , vu qu’il n y as aucune données sensible.
Tu peu aussi mettre un garde armé avec fouille au corps et détecteur de métaux a la fête d’anniversaire de ton gamin de 5 ans pour assurer la securité… intérêt ??

Je rejoint ce que dis bluedeep, il à raison.

Si pour toi des données sensibles c’est justes les adresses, les numéros de téléphones et de carte bleu!

Moi je dirais q’une adresse mail ainsi que le mdp qui lui est associer, cela aussi dois rester du domaine privé.

Donc un webmaster est censée tout faire justement pour protéger nos données.

Tu sais, avec une bonne worldlist mail plus mdp on peut faire pas mal de chose.

[pm42]

Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.

Tu es sur ? Le code est :

Code:

<form action="login.php?do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5password, vb_login_md5password_utf, 0)"

Donc la sécurité n'est pas énorme, on peut imaginer qu'un site se fasse passer pour FS afin de récupérer des mots de passe ou que quelqu'un fasse une attaque sur le md5 pour se faire passer pour un des membres mais je n'ai pas l'impression que c'est si critique que ça...

[inviteaa639fb9]

Concernant les tarifs, je dirais qu’il suffit juste de prendre le temps de chercher et de comparer.

gandi.net est beaucoup moins cher que thawte.fr, actuellement je paye 144€ pour un ssl wildcard... ce n'est pas pour un site de e-commerce non plus

sinon j'utilise let's encrypt pour des clients qui ne veulent pas dépenser beaucoup
c'est gratuit, facile à mettre en place, auto-renouvelable, et reconnu par les principaux navigateurs (peut être tous, je ne peux l'affirmer)
et en plus la migration http vers https se fait de manière transparente, et sans interruption de service (juste un reload d'apache)
avec le mod rewrite, un lien en http se transforme en https, donc pas de souci de lien brisé...
et en plus accessible en ipv6 également

[BioBen]

Un certificat délivré par une autorité de certification reconnu par les navigateurs , ça n'est pas gratuit.....
Un petit exemple de prix :https://www.thawte.fr/ssl/

Un certifcat let's encrypt c'est gratuit : https://letsencrypt.org/
Inutile d'avoir un truc plus compliqué pour un forum.

Sur l'intérêt du https, ils sont nombreux (mots de passes récupérés en clair, exécution de code coté client dans une attaque MITM, etc.)

Ah et pour rappel Futura n'est pas un forum de sécurité informatique, c'est un forum grand public de vulgarisation scientifique.

[BioBen]

Si, pour assurer la confidentialité de la phase de login. Actuellement, les MDP circulent en clair.

Tu es sur ? Le code est :

Bah oui, puisque ça c'est le code de Futura.
Dans une attaque MITM, le client est connecté chez toi et pas sur futura.
Donc tu reçois login+password en clair, tu envoies login+password d'une part vers Futura pour que ce soit hashé et stocké et que l'utilisateur n'y voit que du feu en étant bien inscrit, ET D'AUTRE PART vers ta base où c'est stocké en clair .

[invite8490cb97]

Bah oui, puisque ça c'est le code de Futura.
Dans une attaque MITM, le client est connecté chez toi et pas sur futura.
Donc tu reçois login+password en clair, tu envoies login+password d'une part vers Futura pour que ce soit hashé et stocké et que l'utilisateur n'y voit que du feu en étant bien inscrit, ET D'AUTRE PART vers ta base où c'est stocké en clair .

En plus du md5 (attention c'est du sacré lourd comme cryptage.)

[invite8490cb97]

En faite moi ce qui me fait délirer, c’est les gens (d’une manière générale) qui créent des sites que ce soit forum ou peut importe!

Pour la création, ils se posent la mais pour amélioré la sécurité de celui ci quand il faut mettre la main à la poche bah ils font les crabes, les pinces, les serrures et bizarrement indirectement il préfèrent que les données de leur utilisateurs soit piratés.

Après, d’un point de vue juridique, je ne sait pas trop comment cela peut ce passé dans le contexte ou si un utilisateur ce fait volées ses données dans la bdd d’un site?

Car pour moi quand on laissent nos données dans la bdd d’un site, c’est que l’ont fait confiance à la personne qui à créer celui ci.

[invite8490cb97]

gandi.net est beaucoup moins cher que thawte.fr, actuellement je paye 144€ pour un ssl wildcard... ce n'est pas pour un site de e-commerce non plus

sinon j'utilise let's encrypt pour des clients qui ne veulent pas dépenser beaucoup
c'est gratuit, facile à mettre en place, auto-renouvelable, et reconnu par les principaux navigateurs (peut être tous, je ne peux l'affirmer)
et en plus la migration http vers https se fait de manière transparente, et sans interruption de service (juste un reload d'apache)
avec le mod rewrite, un lien en http se transforme en https, donc pas de souci de lien brisé...
et en plus accessible en ipv6 également

Bonsoir Free,

T’inquiètes, je sais que d’autres sont beaucoup moins chers!

Par contre Saveus lui, ni va pas avec le dos de la cuillère dans le sens ou il met le lien d'un site qui propose des tarifs exorbitants comme 655 euros l’année pour un ssl wilcard (rien à voir avec le tarif que tu as affiché.)

[BioBen]

En plus du md5 (attention c'est du sacré lourd comme cryptage.)

Déjà au moins ils sont hashés ^^.
Une bataille à la fois, mais vu le nombre de bdd non hashées ou hashées en md5, ça ne sera pas mon combat.

Pour la création, ils se posent la mais pour amélioré la sécurité de celui ci quand il faut mettre la main à la poche bah ils font les crabes, les pinces, les serrures et bizarrement indirectement il préfèrent que les données de leur utilisateurs soit piratés.

A nouveau un certificat SSL Letsencrypt c'est gratuit. J'en ai pour tous mes sites persos, projets et pros.
Et l'installer ou le faire installer sur un site ça prend moins d'une heure.
D'où mon questionnement initial.

[invite8490cb97]

Bonjour,

Pourquoi le site futura-sciences, et notamment la partie forum qui a un accès login/mdp, n'a pas de certificat SSL et n'est donc pas servie en https ?

Merci.

Beaucoup ici utilisent encore windows 7 et comme la dis un membre dans un autre topic si le site passe en https ya pas mal de membres qui ne pourront plus se connecter.

[inviteed6105a2]

Mais bon tout de même faudrait savoir ce mettre à la page en matière de sécurité, non vous ne trouvez pas?

Mmm perso j ai installé mon premier certificat SSL publique pour un site d'un client avec paiement en ligne en 1997.
donc je suis a la page depuis un certain temps je pense…

Si pour toi des données sensibles c’est justes les adresses, les numéros de téléphones et de carte bleu!
.

un email n’ai ni une donnée sensible ni une donnée personnel sauf si ton email contient
expressement nom.prenom

definition de la CNIL...
http://www.cil.cnrs.fr/CIL/spip.php?article1574

pour de plus ample détails*:
http://www.cgv-pro.fr/declaration-cnil


de plus vu que ton email n’est pas publié a coté de ton pseudo et sert uniquement a l’administration du site. Ça net en rien une donnée publique.

Un certificat c'est gratuit : https://letsencrypt.org/
Inutile d'avoir un truc plus compliqué pour un forum.

sauf qu’un certificat let's encrypt ou gandi ne sont pas des certificat SSL CA mais juste opérateur de certificat..

C’est a dire que let's encrypt fait valider ces certificats par une autorité de certification Identrust en l’occurrence

En gros twaute se fait voler ces certificat tu as 1,25 million d'USD (dollar US) de dédommagement. (voir le comparatif de prix en lien plus haut) ;
let's encrypt se fait voler ses certificats tu as… les yeux pour pleurer.


Il va se sois que twaute ou Identrust on une sécurité avec un cahier des charge bien élevé que chez let's encrypt; serveur redondant , cryptage des disque dur des serveur de certificats etc....

Chez un let's encrypt; la sécurité est au bon vouloir de let's encrypt.
Rien ne te garantie qu’un employé ne va pas s’en aller avec la bdd des certificats , ou que le stagiaire ne va pas faire une mise a jour du systeme en pleine journée….

Donc quitte a être paranoïaque et faire du HTTPS sur un formulaire d'inscription , autant l'etre jusque haut bout et en faire du vraiment sécurisé….

[JPL]

Beaucoup ici utilisent encore windows 7 et comme la dis un membre dans un autre topic si le site passe en https ya pas mal de membres qui ne pourront plus se connecter.

Tu m'explique ? Parce que quand j'avais Windows 7 je n'ai jamais eu aucun problème avec les sites en https. C'est quoi cette histoire ?

[inviteed6105a2]

sauf qu’un certificat let's encrypt ou gandi ne sont pas des certificat SSL CA mais juste opérateur de certificat..

petite rectification de phrase pas claire , vu que j ai dépassé les 5 mn fatidique de ré-édition ;

lire
"sauf qu’un certificat let's encrypt ou gandi n'est pas un certificat SSL CA mais juste un certificat SSL fourni par un opérateur de certificat."

[JPL]

Désolé BioBen, tu avais mis ton message en doublon. J'en ai approuvé un et supprimé le doublon mais il semble que les deux ont disparu. Pourrais-tu le poster à nouveau.

[BioBen]

@saveus : Let's encrypt est une Certificate Authority, il faut vous mettre à jour. Soutenue par la plupart des acteurs du web.
https://en.wikipedia.org/wiki/Let%27s_Encrypt

[invite6486d7bd]

Franchement le HTTPS c'est de la gniogniote à côte de ce qui peut arriver à Futura.
Il suffit d'imaginer ce qu'un utilisateur malveillant pourrait faire des "anniversaires du jour" affichés journellement lorsqu'il aurait la liste annuelle...
Je dis ça , je dis rien.

[inviteaa639fb9]

Tu m'explique ? Parce que quand j'avais Windows 7 je n'ai jamais eu aucun problème avec les sites en https. C'est quoi cette histoire ?

j'ai encore beaucoup de client en windows 7, et pas de problème avec le https, comprends pas trop non plus cette remarque

[BioBen]

@ JPL : je ne sais pas comment se passe l'interaction entre modérateurs et responsables de forum, mais sais-tu si ma question initiale est remontée aux responsables et s'il existe une réponse à celle ci (difficulté technique ? coût ? inutilité ? etc.).

Merci.

[invite8490cb97]

Franchement le HTTPS c'est de la gniogniote à côte de ce qui peut arriver à Futura.
Il suffit d'imaginer ce qu'un utilisateur malveillant pourrait faire des "anniversaires du jour" affichés journellement lorsqu'il aurait la liste annuelle...
Je dis ça , je dis rien.

XPTDR tu m’as dead...

[JPL]

@ JPL : je ne sais pas comment se passe l'interaction entre modérateurs et responsables de forum, mais sais-tu si ma question initiale est remontée aux responsables et s'il existe une réponse à celle ci (difficulté technique ? coût ? inutilité ? etc.).

Cela avait été évoqué spontanément par le grand chef dans un échange de mail avec moi bien avant que cette discussion soit ouverte ici, non pas pour le forum seul mais pour l'ensemble du site, bien avant que cette discussion démarre ici.

En effet l'inscription s'étend à la fois au forum et au reste du site et il était évoqué l'hypothèse de passer tout le site et pas uniquement la phase de login en https (comme le fait Wikipedia par exemple). Mais il est probable que ceux qui assurent la maintenance du site sont principalement focalisés sur la migration du forum vers un autre support que vBulletin. Or il semble que ce soit plus compliqué que prévu parce que la date envisagée a été dépassée depuis longtemps.

[invite8490cb97]

j'ai encore beaucoup de client en windows 7, et pas de problème avec le https, comprends pas trop non plus cette remarque

C’est un membre qui à dis que cela pourrais causer des soucis lors de la connexion, pour ma part je ne confirme rien du tout.

Par contre ce que je constate c’est que quand on tape dans Google «problèmes certificats ssl sous windows 7» (même sur les forums anglophones.)

C’est que beaucoup de personnes rencontre ce genre de problème.

Voici un lien intéressant, ici https://wpchannel.com/point-certific...gatoires-2017/