Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Passer le site en HTTPS par défaut

[supprimé]

jojo81 a écritÀ quel genre de données tu t'attends ?

Des données qui ont l'air aléatoire, vu que c'est ce que produisent les algos de chiffrement modernes. Et c'est ce que j'ai capturé avec tcpdump.

jojo81 a écrit
shillage a écritD'ailleurs, s'ils sont en HTTPS mais que leurs cookies de connexion sont transmis en clair, ça serait une bonne idée d'aller leur signaler directement pour qu'ils corrigent ça.
Déjà fait.

Tu es leur héros 😃

koshieIsYourDaddy

Ce n'est pas parce qu'il existe des moyens de contourner une protection qu'il ne faut pas la mettre en place... Il en existe plusieurs, du bête certificats à l'échange de clé Diffie-Hellman.

Le coût du TLS est négligeable aujourd'hui si le serveur web est correctement configuré pour optimisé la transaction.

Même s'il existe des failles, il est quand même important, à partir du moment où il y a une transaction de données privées (identifiant carte bleu, mot de passe etc), d'avoir une garantie (presque parfaite) entre le client et le serveur, et que ces données si elles sont récupérés, ne soit pas exploitable sans difficulté (même mineures).

Le coût monétaire est aujourd'hui nul avec des outils comme Let's Encrypt.

C'est une habitude recommandés par tout les grands du web... Par Google, Firefox, la W3C, l'EFF... Voici quelques liens utiles à ce sujet:

http://stackoverflow.com/questions/2177159/should-all-sites-use-ssl-by-default
https://www.sslshopper.com/why-ssl-the-purpose-of-using-ssl-certificates.html

C'est une des priorités des acteurs du web, même petit, de participer à leur échelle à créer un web plus sûr. Je ne comprend pas pourquoi ça n'est pas le cas des gérants du forum. Peut-être ont-il un avis et des raisons à ce sujet et j'aimerai bien les connaître car je suis dubitatif.

Enfin, il est même aujourd'hui recommandé de passer l'intégralité de ses données vers le TLS, et donc àplu le port 80. Pourquoi? Après tout s'il n'y a pas de données sensibles, on s'en fiche, non?

Et bien non, ça permet toujours d'augmenter les preuves de l'authenticité du site sur lequel on se trouve. Ça permet aussi de brouiller les pistes pour un attaquant: par quelle page va t'il commencer si l'ensemble du site est protégé? Les petits malins ne perdront pas trop de temps à résoudre ce problème, mais ça limiterai les exploits via des outils de script-kiddies qui attaque à vue tout ce qui n'est pas protégé.

Bref, y'a beaucoup plus d'avantages que d'inconvénient.

Savoir qu'à l'heure actuelle un de mes voisins peut récupérer sans trop de difficulté mon mot de passe ici si j'utilise le wi-fi, je trouve ça gros pour un forum Linux, une communauté censé être intéressé de nature par la sécurité et la protection des données.

lynn

C'est vrai que la page d'accueil d'ubuntu-fr n'est pas en https... On peut se demander pourquoi alors que le reste est en https..?! :/

koshieIsYourDaddy

Chose bizarre que j'ai remarqué, tout à l'heure sur ce PC, Firefox m'indiquait clairement que j'étais pas en https. Mais maintenant, sur deux Firefox différents (ce pc et un autre) oui... Comprend plus.

J5012

la doc et le forum sont en https mais https n'est pas encore obligatoire sur le forum ... je crois savoir que la machine de la doc n'est pas la meme que celle du forum (et qu'il y a un bleme de certificat derriere)...

si tu tapes dans la barre url doc.ubuntu-fr sans marquer le protocole https de facon explicite, le serveur te redirige automatiquement sur la version https ... ce n'est pas le cas avec le forum où tu peux encore te loguer en http , c'est mon cas : je recois des erreurs de certification https, ce que je n'obtiens pas avec le https de la doc ...

koshieIsYourDaddy

Ceci expliquant cela...

Je sais que la gestion du/des serveur(s) d'ubuntu-fr c'est assez compliqué. Y'a beaucoup de requête par jour, une énorme base de donnée qui doit être absolument conservé (c'est une grande source d'information qu'il serait dommage de perdre), tout ça sur une vieille plateforme de forum qui ne doit pas être la plus pratique à utiliser aujourd'hui. Chose que je ne peux pas critiquer, je n'ai pas le niveau pour pouvoir aider à améliorer tout ça (en tout cas, pas pour le moment).

Mais si cette "oublie" de connexion en http pouvait être réglé... Autant toi, moi et d'autres peuvent faire attention, mais les débutants purs et durs auront plus de mal avec ça. Certains oublieront, d'autres n'en comprendront pas l'intérêt...

Mais au moins, le certificat utilisé est excellent, et je crois que ce test comprend aussi les différentes méthodes employés pour utiliser le certificat, y'en a des plus ou moins efficace, et une note comme celle-ci c'est positif. Ce qui rend d'autant plus dommage qu'on puisse ne pas s'en servir par inattention, fainéantise ou incompréhension.

[supprimé]

Hello ! Où est-ce qu'on en est pour le HTTPS par défaut ? J'ai remarqué en me connectant tout à l'heure que le forum est toujours accessible en HTTP.

D'ailleurs Chrome commence à alerter l'utilisateur quand une page sans chiffrement demande des identifiants. Ca pourrait faire peur à des nouveaux.

J5012

je n'ai pas remarqué depuis quand, mais je viens de verifier l'url de cette discussion de forum et il y a https devant ...

pourtant je me souviens avoir demandé la page forum sans https, donc je pense que c'est ok maintenant : c'est automatique : tu utilises une adresse forum ou doc , tu tombes en https ... et le certificat https du forum est ok aussi, avant je recevais des alertes firefox ...

koshieIsYourDaddy

Il me semble aussi qu'il y a une redirection automatique du http vers l'https sur le forum :-) !

vv221

Il n’y a pas de redirection http → https en place sur le forum, je viens de le vérifier avec cette discussion (en remplaçant https par http dans l’URL, je ne suis pas redirigé vers la page servie via https).

koshieIsYourDaddy

vv221 pourtant moi je le suis.

J5012

J5012 a écritje n'ai pas remarqué depuis quand, mais je viens de verifier l'url de cette discussion de forum et il y a https devant ...

pourtant je me souviens avoir demandé la page forum sans https, donc je pense que c'est ok maintenant : c'est automatique : tu utilises une adresse forum ou doc , tu tombes en https ... et le certificat https du forum est ok aussi, avant je recevais des alertes firefox ...

moi aussi je pensais qu'il y avait redirection ! parce que je pensais que ca m'etait arrivé ... ca devait etre le pere noel fatigue 😉 parce que hier matin ca n'etait en effet pas du tout le cas ?!

il y a un fantome sur le serveur ?

vv221

koshieIsYourDaddy a écritvv221 pourtant moi je le suis.

J’accède bien au forum en https lors de ma navigation courante, pas de souci à ce niveau.
C’est seulement si je demande explicitement à utiliser le protocole http que le forum est servi via celui-ci. Par exemple si je suis un lien en http vers un fil du forum.

-----

EDIT : Aujourd’hui j’ai bien droit à une redirection systématique http → https, il doit y avoir des admins au boulot en ce moment-même 😉

LienRag

Euh moi j'ai https everywhere et en suivant le lien envoyé par mail j'ai atteri sur une page où je devais m'identifier en http (pas S), j'ai pas trop apprécié...

« Page précédente