HTTPS sur forumactif en 2014

Voir le sujet précédent Voir le sujet suivant Aller en bas

Résolu HTTPS sur forumactif en 2014

Message par Tarsonis le Jeu 27 Nov 2014 - 11:21

Détails techniques

Version du forum : Inconnue
Poste occupé : Administrateur
Navigateur(s) concerné(s) : Mozilla Firefox, Google Chrome, Internet Explorer
Personnes concernées par le problème : Tous les utilisateurs
Lien du forum : (lien masqué, vous devez poster pour le voir)

Description du problème

Bonjour,
je sais que le sujet a déjà été ouvert par le passé, dont une fois en 2014.
La seule réponse apportée à la question
Est ce qu'il est possible d'activer HTTPS ?
a été :
Non ce n'est pas possible. Le https:// ne s'utilise que pour l'envoi de données cryptées.

http://forum.forumactif.com/t331243-mettre-le-https-sur-un-forum

Je ne comprends pas vraiment cet argument, c'est justement le but, crypter une connexion !
Ce n'est pas réservé aux transactions bancaires, quasiment tous les sites usuels proposent le protocole HTTPS : Facebook, Twitter, Youtube, et bon nombre de forums.

Ce protocole est le seul moyen de sécuriser une connexion entre un utilisateur et forumactif.

A l'heure actuelle, absolument TOUTES les informations transitent en clair sur sur le réseau.
C'est à dire, qu'en tant qu'administrateur du forum, mon login ET mon mot de passe (+ le texte, les MPs, etc...) sont transparents pour tous les noeuds du réseau.

Que ce soit dans un hôtel avec le wifi, dans une gare, un aéroport, depuis un cybercafé, un réseau de fac ou d'entreprise (+FAI), un simple soft comme Wireshark peut filtrer et retrouver ces infos en quelques secondes.

Cela compromet tout de même les informations personnelles de tous les utilisateurs du forum (mails perso, comptes, etc...).
Et par extension, celles de TOUS les utilisateurs de Forumactif.

Accessoirement, c'est un point essentiel de neutralité du net, qui permettra aux utilisateurs d'accéder au forum quel que soit le filtrage en place (j'ai un accès difficile depuis Singapour car certaines parties du forum contiennent des mots clefs filtrés).

Comme beaucoup de forums que je fréquente ont déjà adopté https, je vous repose la question autrement :
Vous n'implémentez pas HTTPS pour complexité technique, ou bien par choix politique ?

Merci d'avance pour votre réponse. Wink

Tarsonis
Nouveau membre

Messages : 2
Inscrit(e) le : 27/11/2014

http://www.le-projet-olduvai.com/
Tarsonis a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS sur forumactif en 2014

Message par The Godfather le Jeu 27 Nov 2014 - 15:23

Bonjour et merci pour cette question pertinente,

Comme vous devez le savoir, la sécurité des informations qui transitent par le protocole HTTPS est basée sur l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de validité du certificat d'authentification du site visité. cyclops

Mais bien que l’HTTPS permet une vérification de l'identité du site web auquel vous accédez, la garantie de confidentialité et de l'intégrité des données envoyées via ce protocole et reçues du serveur reste théorique…  What's happen ?!?

En effet, des chercheurs en sécurité informatique ont présenté lors de différentes conférences spécialisés (Blackhat Conference, Ekoparty Security Conference…etc.), des protocoles (exemple : « Man in the middle »), afin de contourner le chiffrement HTTPS. Des protocoles dont l’efficacité a était démontrée...  affraid

Dès lors, l’HTTPS n’est pas la réponse à tout. Bien que limitant certains risques, il reste tout aussi vulnérable. D’autant plus qu’appliquer pareil protocole sur nos forums impliquerai l’obligation d’obtention d’un certificat HTTPS pour chaque forum Forumactif, soit des 100énes de milliers de certificats ! Et même si on suppose que cela soit possible et qu’un forum puisse assumer le coup financier de son certificat, absolument tout son contenu doit également être chiffré en https sinon les pages du forum déclencheront de fausses alertes de sécurité (pour ne citer que cet exemple car d'autres cas particuliers existent)!

Très difficile voir impossible de garantir cela surtout que par principe dans un forum, c’est la communauté qui fait son contenu et tout le monde peut poster ce qu'il veut. Le problème est qu’il suffit qu’un utilisateur poste un contenu qui n’est pas sécurisé en HTTPS (une image dans un message par exemple qui n'est pas hébergé en https) pour déclencher une alerte de sécurité faisant peur a tout ceux qui consultent le forum impactant ainsi négativement son audience…

En gros, l'HTTPS "oui" mais pas pour tous les cas. Car dans le nôtre, bien que nous sommes conscient de son utilité dans certains cas, et au delà du fait que cela ajoute un coup financier non négligeable que beaucoup de forums ne pourront pas amortir, il est bien difficile de le mettre en place sur nos forums sans risquer de pénaliser pas mal d’utilisateurs pale

Néanmoins rassurez-vous c’est une option qui est à l'étude par nos équipes de recherche & développement et peux être qu’un jour on pourrait la mettre en place d’une façon efficiente pour tous sur nos services.

En tout cas, le message est passé Wink


Merci king



The Godfather
Adminactif
Adminactif

Masculin
Messages : 13552
Inscrit(e) le : 02/05/2004

http://forum.forumactif.com/
The Godfather a été remercié(e) par l'auteur de ce sujet.

Résolu Re: HTTPS sur forumactif en 2014

Message par Tarsonis le Jeu 27 Nov 2014 - 15:37

Bonjour,
merci pour votre réponse rapide et complète.

Je sais pertinemment que l'accès exclusif en HTTPS pur n'est pas réalisable en permanence, avec liens externes, images, etc... qui vont fuiter dans tous les sens Wink

L'essentiel de mon problème tourne bien entendu autour des modalités de connexion; quand j'ai remarqué que mes login et mdp transitaient en clair, cela m'a un peu gêné. Pour le parcours et la gestion du forum, c'est mois embêtant Wink

Je ne pensais pas que la structure en place nécessitait un certificat par forum, mais bien un seul pour avoir accès à votre base de donnée.

Message bien reçu king

Tarsonis
Nouveau membre

Messages : 2
Inscrit(e) le : 27/11/2014

http://www.le-projet-olduvai.com/
Tarsonis a été remercié(e) par l'auteur de ce sujet.

Voir le sujet précédent Voir le sujet suivant Revenir en haut


Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum