forum en HTTPS

Vous avez des problèmes sur l'utilisation du forum ?
Des commentaires à faire ?
C'est ici !
EboO
Informaticien
Informaticien
Messages : 319
Inscription : 18 déc. 2009 12:58

Re: forum en HTTPS

Message par EboO » 16 mars 2011 20:59

J'ai beau mettre https opera me dit que la connexion n'est pas sécurisée (quand je clique sur le globe où il est écrit Web, à côté de l'adresse).
Et il n'est pas possible de mettre tout le site en sécurisé ?


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 88008
Inscription : 10 sept. 2005 13:57
Contact :

Re: forum en HTTPS

Message par Malekal_morte » 17 mars 2011 10:29

@100bugs : le coup des IP c'est trop aléatoire (IP dynamique, se connecter depuis un endroit public etc).
Le but là, c'est simplement de pouvoir se connecter depuis un endroit public de manière tranquille sans que les identifiants de connexion lors de la connexion (voir après les messages mais ça je m'en fous à la limite) passent en clair.
EboO a écrit :Et il n'est pas possible de mettre tout le site en sécurisé ?
non.
Faut ignorer le message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
100bugs
Intermédiaire Expert
Intermédiaire Expert
Messages : 277
Inscription : 25 nov. 2008 22:18

Re: forum en HTTPS

Message par 100bugs » 17 mars 2011 15:32

Malekal_morte a écrit :Le but là, c'est simplement de pouvoir se connecter depuis un endroit public de manière tranquille sans que les identifiants de connexion lors de la connexion (voir après les messages mais ça je m'en fous à la limite) passent en clair.
Dans ce cas, c'est uniquement la page de connexion qu'il faut cripter et la protection pourrait même se limiter uniquement à celà.
Une fois connecté, tu pourras alors repasser en HTTP (pour faciliter la navigation).

L'accès à son panneau de l'utilisateur pourrait peut-être aussi poser un risque alors faudrait probablement le cripter aussi.
Faut regarder çà de plus près!

Concernant le IP, j'ai dit dans mon point 3 que si cela posait problème, tu avais aussi la possibilité de détecter le ID du PC comme le fait ma banque. Je ne sais pas comment elle le fait mais c'est un fait qu'elle le fait.

Mais d'après ce que tu dis (voir citation ci-haut), cette protection additionnelle ne sera pas nécessaire... mais tout de même utile à connaître pour un usage futur si requis.

félix le chat
Amateur Expert
Amateur Expert
Messages : 155
Inscription : 15 nov. 2009 18:13

Re: forum en HTTPS

Message par félix le chat » 17 mars 2011 18:11

Bonjour,

Sur [mon] Firefox la mise en garde est explicite Attention : une partie du contenu n'est pas authentifié et le cadenas est surchargé d'un point d'exclamation sur fond rouge, donc je sais ce que je fais si je persiste à naviguer sur le forum.
Le but là, c'est simplement de pouvoir se connecter depuis un endroit public de manière tranquille sans que les identifiants de connexion lors de la connexion (voir après les messages mais ça je m'en fous à la limite) passent en clair.
d'autant qu'une fois publiés sur le forum les messages sont en clair pour tout le monde.
L'accès à son panneau de l'utilisateur pourrait peut-être aussi poser un risque alors faudrait probablement le cripter aussi.
l'accès au panneau utilisateur est déjà crypté en https, pour ceux qui se connectent en https.
Concernant le IP, j'ai dit dans mon point 3 que si cela posait problème, tu avais aussi la possibilité de détecter le ID du PC comme le fait ma banque. Je ne sais pas comment elle le fait mais c'est un fait qu'elle le fait.


1)actuellement une extension pour Firefox permet d'envoyer 3 IP différentes ce qui fausse l'identification par IP http://ipfuck.paulds.fr/ comme cela peut être vérifié sur http://www.mon-ip.com/
2) l'identification par l'ID du Pc peut être mise à mal comme le fait ce programme http://dropportable.ho.am/#english-home en effet l'identification sur DropBox se fait par un identifiant, un mot de passe et l'ID du PC et comme dropportable fonctionne à partir d'une clé USB sur n'importe quel PC, il trompe l'identification par l'ID du PC

Pour ce qui me concerne, je ne vois pas l'utilité dans le cas d'une utilisation "pour le moment pédagogique" de modifier la situation actuelle, ceux qui veulent du http sur le forum sont servis et ceux qui veulent du https aussi, ceux qui utilisent le https sont avertis par leur navigateur que certaines parties du forum ne sont pas cryptées, c'est très pédagogique et très fonctionnel.

Par contre, je trouverais normal que maintenant que http://pjjoint.malekal.com/ comporte une possible identification par mot de passe il soit en https.

Avatar de l’utilisateur
100bugs
Intermédiaire Expert
Intermédiaire Expert
Messages : 277
Inscription : 25 nov. 2008 22:18

Re: forum en HTTPS

Message par 100bugs » 17 mars 2011 22:08

Salut félix

Comme malekal l'a dit, le prob avec HTTPS est qu'il faut configurer certains navigateurs pour qu'ils ignorent les avertissements de sécurité (sinon c'est l'enfer) et que cela est difficile pour un profane étant donné que c'est caché profondément dans les menus (en tout cas pour IE8). C'est uniquement pour celà que https n'est plus forcé!

C'est vrai qu'on peut choisir entre http et https mais il y a encore des bugs; le principal étant que https EST ENCORE IMPOSÉ dans les mail avertissant d'un nouveau message dans un sujet. C'est un problème pour celui qui a opté pour le http car en cliquant sur ce lien https, il se retrouve en https... et là, on retombe dans la même problématique que celle exprimée au premier paragraphe.

Pour le panneau utilisateur, c'est vrai qu'il est en https pour celui qui a opté pour le https mais le "possible" problème de sécurité reste entier pour celui qui a opté pour le http.

Concernant ton dernier point avec les 2 sous-points suivants:
félix le chat a écrit :)actuellement une extension pour Firefox permet d'envoyer 3 IP différentes ce qui fausse l'identification par IP
C'est super mais...
1- Tous les utilisateurs de Firefox n'ont pas cette extension.
2- Tout le monde n'utilise pas Firefox.
3- Et finalement, malekal a un problème avec les IP dynamiques... et il préfère rejeter cette approche.
félix le chat a écrit : l'identification par l'ID du Pc peut être mise à mal comme le fait ce programme http://dropportable.ho.am/#english-home
1- D'abord, si j'ai bien compris le but de malekal, il n'aura pas besoin de cette sécurité par l'ID du PC.
2- Si il décide un jour de l'utiliser, cela sera tout de même très sécuritaire car pour forcer l'accès, un malfaiteur devra aller voler l'ID du PC convoité qui est situé quelque part dans la puce du processeur. C'est tout un défi...même pour un expert!
Rien à voir avec écrire l'ID de son PC sur une clef USB et ensuite brancher cette clef USB sur un autre PC (çà c'est enfantin).
félix le chat a écrit :Par contre, je trouverais normal que maintenant que http://pjjoint.malekal.com/ comporte une possible identification par mot de passe il soit en https.

Alors là, tu en viens à ma propre conclusion que j'ai exprimé dans mon message précédent et c'est probablement la seule protection que malekal a besoin pour résoudre le problème qu'il a exprimé.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 88008
Inscription : 10 sept. 2005 13:57
Contact :

Re: forum en HTTPS

Message par Malekal_morte » 18 mars 2011 11:59

100bugs a écrit :
Malekal_morte a écrit :Le but là, c'est simplement de pouvoir se connecter depuis un endroit L'accès à son panneau de l'utilisateur pourrait peut-être aussi poser un risque alors faudrait probablement le cripter aussi.
Faut regarder çà de plus près!
C'est trop compliqué à mettre en place, et en plus, j'ai pas envie de toucher phpbb.
Moins tu y touches, mieux tu te portes car phpbb à maintenir, c'est la misère.

Pour le reste de la discussion sur la reconnaissance d'IP, c'est de toute façon pas le but de la manoeuvre.
Le but étant de pouvoir faire l'authentification sur le forum de manière plus sécurisé dans le cas où on se connecte depuis un lieu public.
Personne ne s'est encore plains de vol de compte, donc je vois pas l'intérêt de mettre des détections en place qui vont en plus certainement générer des faux positifs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
100bugs
Intermédiaire Expert
Intermédiaire Expert
Messages : 277
Inscription : 25 nov. 2008 22:18

Re: forum en HTTPS

Message par 100bugs » 18 mars 2011 17:01

Je sais tous çà malekal !
D'ailleurs, tu t'es déjà prononcé sur l'IP (prob avec IP dynamique) et en plus, c'est clair dans ma tête que tu n'en as pas besoin pour faire ce que tu veux faire.

Tu viens maintenant de régler l'interrogation que j'avais au sujet de la protection du panneau de l'utilisateur.
Je n'étais pas certain que çà valait la peine de le protéger mais si en plus çà risque de fouttre le bordel alors vaux mieux oublier çà.

Par contre, il y a 2 points que j'ai mentionnés (2 fois je crois) mais sur lesquels tu restes muet:

1- Actuellement, https est toujours forcé dans les émails avertissant de l'ajout d'un message (je crois que çà se produit uniquement si le message a été déposé par une personne utilisant https).

Aussitôt que je clique sur ce lien, je me retrouve en https EXACTEMENT comme si j'avais choisi de fonctionner en https.
Or, pour faciliter la navigation, tu as déjà choisi de rendre https OPTIONEL.
Pour être consistent avec ta première décision, faudrait donc éviter de l'imposer via les notifications par email sinon ta première décision n'aura strictement rien réglé.

2- Est-ce que le criptage de la page de login UNIQUEMENT ne réglerait pas ton double problème de sécurité en lieu public et de facilité de navigation ? Et du même coup le problème mentionné au point 1 ?
--------------------------------------

Pardonnes mon insistance mais je préfère régler ce problème (décrit au point 1) autrement qu'en configurant mon navigateur pour qu'il IGNORE ce type d'avertissement de sécurité. Ils sont certainement émis pour une bonne raison alors vaut mieux ne pas les ignorer... en particulier quand je navigue sur des sites bancaires.

Et puis, çà ne vaut tout simplement pas le coup de prendre ce risque car les données que tu veux protéger n'ont aucune valeur et tu disposes maintenant d'une autre solution pour y parvenir.

Sinon, je pourrai toujours régler ce problème agaçant en ne venant plus sur ce site. D'ailleurs, j'y viens surtout maintenant pour offrir mon aide et rarement pour en demander car ma nouvelle façon de procéder ne le requiert plus.

Avatar de l’utilisateur
100bugs
Intermédiaire Expert
Intermédiaire Expert
Messages : 277
Inscription : 25 nov. 2008 22:18

Re: forum en HTTPS

Message par 100bugs » 21 mars 2011 21:01

Je viens de passer à IE9 et là, le problème a été réglé de façon très élégante. J'adore!

Avec IE8, le pop up s'affichait et il fallait cliquer oui/non pour pouvoir continuer la navigation.

Avec IE9, ce n'est plus un pop up qui s'affiche mais plutôt une ligne de message en bas de l'écran et on peut continuer la navigation en l'ignorant totalement. Cette ligne de message dit que seulement les informations sécurisées ont été affichées et on a ajouté un bouton pour faire afficher les infos non sécurisées si on le désire.

Donc, plus besoin de reconfigurer le navigateur pour accepter les contenus mixtes qui causaient l'apparition des pop ups qui à leur tour bloquaient la navigation jusqu'à ce qu'on clique sur oui ou non.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 88008
Inscription : 10 sept. 2005 13:57
Contact :

Re: forum en HTTPS

Message par Malekal_morte » 22 mars 2011 18:49

PDT_008

Mais bon, on va pas forcer, d'ici que tout le monde soit en IE9 !
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
100bugs
Intermédiaire Expert
Intermédiaire Expert
Messages : 277
Inscription : 25 nov. 2008 22:18

Re: forum en HTTPS

Message par 100bugs » 22 mars 2011 19:09

C'est vrai mais là, je parlais seulement pour moi.
En fait, IE9 est compatible seulement avec vista et win 7 alors y'a plein de gens qui devront s'en passer.

Concernant firefox, la version 4 est maintenant dispo mais je ne la connais pas.
J'imagine qu'elle traite le problème un peu de la même façon que IE9 car... compétition oblige.
Peut-être aussi qu'elle n'est pas compatible avec les vieux OS... faudrait que quelqu'un le signale.

J'ai vu qu'il n'y avait plus de liens https dans le mail m'avertissant de ton message.
Çà veut probablement dire que tu as complètement désactivé https... C'est sage!
Cependant, tu ne devrais pas abandonner ton idée pour autant car elle est bonne.

Comme je l'ai dit, suffit seulement de cripter la page de login et çà va marcher.
Si tu as réussi à cripter un site entier, y'a pas de raison pour que tu ne réussisses pas avec une seule page.

Et si... pour une raison quelconque tu ne peux pas éviter d'y mettre des liens mixtes alors ce ne sera vraiment pas la fin du monde car le pop up ne va apparaître qu'une seule fois... au moment du login... et encore, faut bien réaliser que c'est un très petit nombre d'utilisateur qui sera touché car la très grande majorité se log automatiquement (sans passer par cette page de login).

Au pire aller, tu peux mettre une petite note sur cette page de login pour avertir un usager lambda de ne pas s'inquiéter et lui dire sur quel bouton presser.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 88008
Inscription : 10 sept. 2005 13:57
Contact :

Re: forum en HTTPS

Message par Malekal_morte » 23 mars 2011 16:39

100bugs a écrit :Concernant firefox, la version 4 est maintenant dispo mais je ne la connais pas.
J'imagine qu'elle traite le problème un peu de la même façon que IE9 car... compétition oblige.
bha je suis sur icewasel beta 4 (donc pris de FF) et y a pas d'alerte.
Juste si tu clics sur favicon...
100bugs a écrit :J'ai vu qu'il n'y avait plus de liens https dans le mail m'avertissant de ton message.
Çà veut probablement dire que tu as complètement désactivé https... C'est sage!
Cependant, tu ne devrais pas abandonner ton idée pour autant car elle est bonne.
Non j'ai rien touché....
C'est que quand j'ai répondu j'étais pas en HTTPS
Là j'ai répondu en HTTPS donc tu devrais ravoir le HTTPS.

Comme je l'ai dit, suffit seulement de cripter la page de login et çà va marcher.
Si tu as réussi à cripter un site entier, y'a pas de raison pour que tu ne réussisses pas avec une seule page.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
100bugs
Intermédiaire Expert
Intermédiaire Expert
Messages : 277
Inscription : 25 nov. 2008 22:18

Re: forum en HTTPS

Message par 100bugs » 24 mars 2011 16:39

Si j’ai pensé que tu avais désactivé https, c’est pas seulement à cause de l’absence de liens https dans le email.
C’est aussi surtout parce que c’est ce que j’ai compris de ton avant dernier message.
Malekal_morte a écrit :Mais bon, on va pas forcer, d'ici que tout le monde soit en IE9 !
Peu importe… Je ne suis plus affecté par ce problème maintenant!
--------------------------------------------------------------------

Par contre, cette histoire de pop up m’a amené à consulter plusieurs forums et là, j’ai pris conscience d’une chose capitale:
Presque tous les utilisateurs ignorent ce qu’ils font et se limitent à l’apparence, sans gratter pour voir ce qu’il y a sous la surface.

Au départ, les principaux concepteurs de navigateurs (MS et FF) ont réalisé que la présence de liens http posait un risque de sécurité sur une page cryptée et ils ont jugé important d’en aviser l’utilisateur par un pop up (malheureusement mal conçu).
Aujourd’hui, ils reconnaissent toujours ce risque et ont heureusement corrigé le pop up mal conçu.

Entre ces 2 points (de départ et aujourd'hui), les utilisateurs ont dit tellement de conneries que je ne sais pas si je dois en rire ou en pleurer :

1- MS c’est de la merde… Prends FF car pas d’avertissements avec lui!
(sauf que FF aussi avertie du problème de sécurité… si sa config n'a pas été altérée.)

2- Moi j’en ai pas de pop up alors pas de soucis!
(pas de soucis… pour l’instant! Espérons que cela va continuer... )

3- J’ai réglé le problème en reconfigurant le navigateur!
(sauf que là, tu as un problème plus grave car tu as désactivé la protection…)

4- C’est pas vrai que des liens http posent un risque sur une page cryptée!
(sauf que les deux plus grands sont convaincus du contraire… On parle pas de la paranoïa de MS!)

5- Etc

J’avoue être déçu que ce site (en grande partie à vocation éducative) ne fasse que très peu d'éducation sur ce sujet pour contrecarrer ces fausses (et parfois dangereuses) croyances. Sans doute que personne n’en a encore pris conscience… d'où cette intervention.

Mais là, j'en ai assez fait et je te rend le bâton du pèlerin!
C'est que, en naviguant ainsi à contre-courant (dans cette culture européenne plus conformiste que la mienne), j'ai plus l'impression d'être perçu comme "l'emmerdeur du quartier" que comme "un bon samaritain"...


Répondre

Revenir vers « Questions/Commentaires sur le forum »