HTTPS?

octy · #1 Message Ven 17 Oct 2014 15:01

Bonjour,

Un petit message aux admins.
Je voyage un peu en ce moment et je suis amené à vous lire ou poster depuis des hotels ou des réseaux pas très sûrs.
Est-il possible d'activer TLS pour accéder au forum en https?

Bug Killer · #2 Message Ven 17 Oct 2014 16:20

On a répercuté ta demande aux admins techniques.

#3 Message Ven 17 Oct 2014 18:58

1. Pas très simple à faire (mais je ne suis pas expert)
2. Je ne comprend pas en quoi cela résoud le pb des réseaux "pas très surs" et d'ailleurs ce que tu veux dire par là (à partir du momemnt où tu es conecté sur le réseau local de ton hôtel, il me semble que ton ordi est vulnérable, et ce n'est pas la connexion sur alphadxd en ssl ou pas qui devrait changer, non?).
Je me trompe?

Dami1 · #4 Message Ven 17 Oct 2014 19:02

je pense qu'il a peur que son mdp de dxd passe en clair sur un réseau public

Dark_K · #5 Message Ven 17 Oct 2014 19:11

A ce moment là, lorsque tu as Tapatalk sur ton smartphone, et que tu es en wifi dans différents endroits, et que tu es en co/auto sur dxd c'est pareil non ?

#6 Message Ven 17 Oct 2014 19:16

bah, avec perte de ton mdp de dxd tu risque quand-même pas grand chose... par rapport à tout ce que tu risquerais sur toutes les autres connexions?

#7 Message Ven 17 Oct 2014 19:27

Et qui dit ssl dit certificat donc des frais sinon beaucoup de navigateurs bloquent.

EGr · #8 Message Sam 18 Oct 2014 08:49

round-planet a écrit :bah, avec perte de ton mdp de dxd tu risque quand-même pas grand chose... par rapport à tout ce que tu risquerais sur toutes les autres connexions?

Sauf si le mdp utilisé sur alphadxd est commun à d'autres comptes... :idea:

.
Mais là encore, on retombe sur des questions d'organisation personnelle sécurisée, et pas de fonctionnement sécurisé ou non du forum

.

octy · #9 Message Sam 18 Oct 2014 09:35

@round-planet, il s'agit bien là de proteger le mot de passe et la session et non l'ordinateur. Tu as raison le mot de passe d'un utilisateur d'AlphaDxD c'est pas non plus le saint graal pour quelqu'un de malvaillant, mais si cette configuration est prévu par le serveur cela ne coute pas grand chose d'y jeter un oeil. Après il y a les mots de passe des administrateurs, leur vol (ou celui du cookie de session) pourrait faire beaucoup de mal, mais là ce n'est plus mon problème

@Dark_K, oui c'est la même chose en théorie.
@ben21, il n'est pas nécessaire d'aller jusqu'à l'achat d'un certificat signé. Il y a toute une échelle de protection, contre des attaques passives ou actives. Déjà si la simple écoute du réseau est bloquée c'est pas mal. Après même sans certificat signé il y aura bientôt moyen de se protéger un peu plus, mais bon je ne vais pas rentrer dans le détail ici.

C'est aux administrateurs techniques de peser le pour et le contre en fonction de leur installation et des outils qu'ils utilisent. Si cela ne prend pas beaucoup de temps à activer, pourquoi ne pas le faire ? C'était là le seul but de ma demande.

octy

jr56 · #10 Message Sam 18 Oct 2014 12:17

Je n'y connais rien (pour cela que j'avais relayé vers nos admin techniques), mais est-ce que cela a des contraintes pour les autres utilisateurs ou la gestion courante du forum?

J'avoue qu'en déplacement je me connecte sans état d'âme à alphadxd depuis des Wifi publics, alors que je ne le fais jamais pour mes sites bancaires ou autres...

octy · #11 Message Sam 18 Oct 2014 15:23

Absolument aucun changement.
C'est juste que cela devient un choix, soit une connexion http://... comme aujourd'hui soit une https://... pour ajouter de la sécurité.

Pour être clair j'ai posé la question parce que qui ne demande rien n'a ... et moi, je fais attention à ce genre de chose. :wink:

Mais bien sûr il ne s'agit pas de données sensibles, alors je n'ai pas un avis très tranché. Si cela ne peut se faire tant mieux, sinon pour des raisons du type:

L' hébergeur fait payer cette option en plus.
J'administre bénévolement, et franchement je n'ai pas le temps de regarder.
ou autre

Je ne vais pas insister ou me fatiguer (et les autres) en tonnes d'arguments :mrgreen:

#12 Message Sam 18 Oct 2014 18:43

Je ne suis pas spécialiste (c'est plutôt Gally), mais ce site web dit que:
* soit on paye le certificat
* soit il y a un message d'alerte quand on se connecte.
Aucune de ces 2 cas me semblent valoir le jus.

octy · #13 Message Dim 19 Oct 2014 08:46

Si au contraire.
Si tu n'achète pas un certificat, l'alerte du navigateur t'informe que le certificat du site n'est pas signé par une autorité de certification reconnue.
Dans ce cas il te demande ton avis car il n'est pas capable de prendre une décision seul, il y a toujours un bouton "ajouter une exception de sécurité"). Une fois le site accepté la connexion sécurisé s'établit et tout ce qui est échangé entre ton PC et le serveur d'AlphaDxd est protégé.

#14 Message Dim 19 Oct 2014 10:09

On dit bien la même chose; je ne veux pas voir un message demandant un avis à chaque fois.

octy · #15 Message Dim 19 Oct 2014 13:13

il suffit de cocher "ajouter l'exception de façon permanente" lors de la première connexion en https pour ceux qui le souhaite.
Encore une fois cela change absolument rien pour ceux qui souhaitent continuer en http comme aujourd'hui;

gally · #16 Message Lun 20 Oct 2014 13:11

Les certificats auto-signés sont bloqués par de nombreux navigateurs et anti-virus, un certificat signé par une autorité et payant est trop cher pour notre petit forum :-)

Oui, il est possible de forcer son pc, navigateur, anti-virus à accepter le certificat, mais j'ai pas envie de faire le support :pouet:

.

HTTPS?

Qui est en ligne ?