Accueil
Créer un forumHTTPS sur forumactif en 2014
2 participants
Forum gratuit : Le forum des forums actifs :: Entraide & Support... :: Problème divers :: Archives des problèmes divers
Page 1 sur 1 • Partagez
HTTPS sur forumactif en 2014
par Tarsonis Jeu 27 Nov 2014 - 11:21
Détails techniques
Version du forum : InconnuePoste occupé : Administrateur
Navigateur(s) concerné(s) : Mozilla Firefox, Google Chrome, Internet Explorer
Personnes concernées par le problème : Tous les utilisateurs
Lien du forum : (lien masqué, vous devez poster pour le voir)
Description du problème
Bonjour,je sais que le sujet a déjà été ouvert par le passé, dont une fois en 2014.
La seule réponse apportée à la question
a été :Est ce qu'il est possible d'activer HTTPS ?
Non ce n'est pas possible. Le https:// ne s'utilise que pour l'envoi de données cryptées.
https://forum.forumactif.com/t331243-mettre-le-https-sur-un-forum
Je ne comprends pas vraiment cet argument, c'est justement le but, crypter une connexion !
Ce n'est pas réservé aux transactions bancaires, quasiment tous les sites usuels proposent le protocole HTTPS : Facebook, Twitter, Youtube, et bon nombre de forums.
Ce protocole est le seul moyen de sécuriser une connexion entre un utilisateur et forumactif.
A l'heure actuelle, absolument TOUTES les informations transitent en clair sur sur le réseau.
C'est à dire, qu'en tant qu'administrateur du forum, mon login ET mon mot de passe (+ le texte, les MPs, etc...) sont transparents pour tous les noeuds du réseau.
Que ce soit dans un hôtel avec le wifi, dans une gare, un aéroport, depuis un cybercafé, un réseau de fac ou d'entreprise (+FAI), un simple soft comme Wireshark peut filtrer et retrouver ces infos en quelques secondes.
Cela compromet tout de même les informations personnelles de tous les utilisateurs du forum (mails perso, comptes, etc...).
Et par extension, celles de TOUS les utilisateurs de Forumactif.
Accessoirement, c'est un point essentiel de neutralité du net, qui permettra aux utilisateurs d'accéder au forum quel que soit le filtrage en place (j'ai un accès difficile depuis Singapour car certaines parties du forum contiennent des mots clefs filtrés).
Comme beaucoup de forums que je fréquente ont déjà adopté https, je vous repose la question autrement :
Vous n'implémentez pas HTTPS pour complexité technique, ou bien par choix politique ?
Merci d'avance pour votre réponse.
Tarsonis- Nouveau membre
- Messages : 19
Inscrit(e) le : 27/11/2014 -
Re: HTTPS sur forumactif en 2014
par The Godfather Jeu 27 Nov 2014 - 15:23
Bonjour et merci pour cette question pertinente,
Comme vous devez le savoir, la sécurité des informations qui transitent par le protocole HTTPS est basée sur l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de validité du certificat d'authentification du site visité.
Mais bien que l’HTTPS permet une vérification de l'identité du site web auquel vous accédez, la garantie de confidentialité et de l'intégrité des données envoyées via ce protocole et reçues du serveur reste théorique…
En effet, des chercheurs en sécurité informatique ont présenté lors de différentes conférences spécialisés (Blackhat Conference, Ekoparty Security Conference…etc.), des protocoles (exemple : « Man in the middle »), afin de contourner le chiffrement HTTPS. Des protocoles dont l’efficacité a était démontrée...
Dès lors, l’HTTPS n’est pas la réponse à tout. Bien que limitant certains risques, il reste tout aussi vulnérable. D’autant plus qu’appliquer pareil protocole sur nos forums impliquerai l’obligation d’obtention d’un certificat HTTPS pour chaque forum Forumactif, soit des 100énes de milliers de certificats ! Et même si on suppose que cela soit possible et qu’un forum puisse assumer le coup financier de son certificat, absolument tout son contenu doit également être chiffré en https sinon les pages du forum déclencheront de fausses alertes de sécurité (pour ne citer que cet exemple car d'autres cas particuliers existent)!
Très difficile voir impossible de garantir cela surtout que par principe dans un forum, c’est la communauté qui fait son contenu et tout le monde peut poster ce qu'il veut. Le problème est qu’il suffit qu’un utilisateur poste un contenu qui n’est pas sécurisé en HTTPS (une image dans un message par exemple qui n'est pas hébergé en https) pour déclencher une alerte de sécurité faisant peur a tout ceux qui consultent le forum impactant ainsi négativement son audience…
En gros, l'HTTPS "oui" mais pas pour tous les cas. Car dans le nôtre, bien que nous sommes conscient de son utilité dans certains cas, et au delà du fait que cela ajoute un coup financier non négligeable que beaucoup de forums ne pourront pas amortir, il est bien difficile de le mettre en place sur nos forums sans risquer de pénaliser pas mal d’utilisateurs
Néanmoins rassurez-vous c’est une option qui est à l'étude par nos équipes de recherche & développement et peux être qu’un jour on pourrait la mettre en place d’une façon efficiente pour tous sur nos services.
En tout cas, le message est passé
Merci
Comme vous devez le savoir, la sécurité des informations qui transitent par le protocole HTTPS est basée sur l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de validité du certificat d'authentification du site visité.
Mais bien que l’HTTPS permet une vérification de l'identité du site web auquel vous accédez, la garantie de confidentialité et de l'intégrité des données envoyées via ce protocole et reçues du serveur reste théorique…
En effet, des chercheurs en sécurité informatique ont présenté lors de différentes conférences spécialisés (Blackhat Conference, Ekoparty Security Conference…etc.), des protocoles (exemple : « Man in the middle »), afin de contourner le chiffrement HTTPS. Des protocoles dont l’efficacité a était démontrée...
Dès lors, l’HTTPS n’est pas la réponse à tout. Bien que limitant certains risques, il reste tout aussi vulnérable. D’autant plus qu’appliquer pareil protocole sur nos forums impliquerai l’obligation d’obtention d’un certificat HTTPS pour chaque forum Forumactif, soit des 100énes de milliers de certificats ! Et même si on suppose que cela soit possible et qu’un forum puisse assumer le coup financier de son certificat, absolument tout son contenu doit également être chiffré en https sinon les pages du forum déclencheront de fausses alertes de sécurité (pour ne citer que cet exemple car d'autres cas particuliers existent)!
Très difficile voir impossible de garantir cela surtout que par principe dans un forum, c’est la communauté qui fait son contenu et tout le monde peut poster ce qu'il veut. Le problème est qu’il suffit qu’un utilisateur poste un contenu qui n’est pas sécurisé en HTTPS (une image dans un message par exemple qui n'est pas hébergé en https) pour déclencher une alerte de sécurité faisant peur a tout ceux qui consultent le forum impactant ainsi négativement son audience…
En gros, l'HTTPS "oui" mais pas pour tous les cas. Car dans le nôtre, bien que nous sommes conscient de son utilité dans certains cas, et au delà du fait que cela ajoute un coup financier non négligeable que beaucoup de forums ne pourront pas amortir, il est bien difficile de le mettre en place sur nos forums sans risquer de pénaliser pas mal d’utilisateurs
Néanmoins rassurez-vous c’est une option qui est à l'étude par nos équipes de recherche & développement et peux être qu’un jour on pourrait la mettre en place d’une façon efficiente pour tous sur nos services.
En tout cas, le message est passé
Merci
The Godfather- Adminactif
-
Messages : 18294
Inscrit(e) le : 02/05/2004
Re: HTTPS sur forumactif en 2014
par Tarsonis Jeu 27 Nov 2014 - 15:37
Bonjour,
merci pour votre réponse rapide et complète.
Je sais pertinemment que l'accès exclusif en HTTPS pur n'est pas réalisable en permanence, avec liens externes, images, etc... qui vont fuiter dans tous les sens
L'essentiel de mon problème tourne bien entendu autour des modalités de connexion; quand j'ai remarqué que mes login et mdp transitaient en clair, cela m'a un peu gêné. Pour le parcours et la gestion du forum, c'est mois embêtant
Je ne pensais pas que la structure en place nécessitait un certificat par forum, mais bien un seul pour avoir accès à votre base de donnée.
Message bien reçu
merci pour votre réponse rapide et complète.
Je sais pertinemment que l'accès exclusif en HTTPS pur n'est pas réalisable en permanence, avec liens externes, images, etc... qui vont fuiter dans tous les sens
L'essentiel de mon problème tourne bien entendu autour des modalités de connexion; quand j'ai remarqué que mes login et mdp transitaient en clair, cela m'a un peu gêné. Pour le parcours et la gestion du forum, c'est mois embêtant
Je ne pensais pas que la structure en place nécessitait un certificat par forum, mais bien un seul pour avoir accès à votre base de donnée.
Message bien reçu
Tarsonis- Nouveau membre
- Messages : 19
Inscrit(e) le : 27/11/2014 -
Sujets similaires» Fêtez la Coupe du monde 2014 de football avec Forumactif !
» https://csfb.forumactif.com/
» Désolé, mais ce nom d'utilisateur est déjà pris.
» [Site] HTTPS pour la webmail Forumactif
» Activer le protocole HTTPS / HTTP forumactif
» https://csfb.forumactif.com/
» Désolé, mais ce nom d'utilisateur est déjà pris.
» [Site] HTTPS pour la webmail Forumactif
» Activer le protocole HTTPS / HTTP forumactif
Forum gratuit : Le forum des forums actifs :: Entraide & Support... :: Problème divers :: Archives des problèmes divers
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum