Skip to Content

Crypter le traffic HTTP

Dernière contribution

18 posts / 0 nouveau(x)
Portrait de xela85
Hors ligne
A rejoint: 21 septembre 2011
Contributions: 86
Crypter le traffic HTTP

Tout le trafic web inhérent au site, que ce soient les pages web ou les identifiants et mots de passes, est transmis en clair sur Internet. Il est donc facile de récupérer les identifiants de n'importe quel membre ou modérateur et écoutant le trafic réseau.

Je pense que nous sommes d'accord pour dire que ce n'est pas du tout sécurisé de la part d'un site de cette taille.
Est-ce qu'il serait possible de mettre en place un système gérant au moins l'authentification par SSL ?
Il me semble que l'hébergement du site est fait sur serveur dédié. Il existe une bonne panoplie de certificats SSL gratuits (comme StartSSL) qui permettent de sécuriser aisément son site (notamment par le biais le module SSL d'Apache).

Bravo à Martialou pour son travail, et bonne chance pour ses futurs travaux :).

Edité par xela85 le 28/05/2015 - 20:20
Portrait de Dudu
Hors ligne
A rejoint: 9 septembre 2011
Contributions: 10747
Re: Crypter le traffic HTTP

J'y connais rien, mais je fais remonter la chose.

Portrait de xela85
Hors ligne
A rejoint: 21 septembre 2011
Contributions: 86
Re: Crypter le traffic HTTP

Bonjour,

Je réitère ma suggestion :). (attention termes techniques ci-dessous ;) )

Au passage il serait possible de mettre en place ce système avec nginx en reverse proxy, avec support d'HTTP2. Ça compenserait le coût de SSL, et ça permettrait des temps de chargement plus rapides (multiplexage de la connexion pour charger les ressources sur un seul socket).

Petite explication pour les curieux :

Avec le protocole HTTP1.1, le téléchargement des données se fait un à un, comme ceci :

Avec HTTP2, chaque ressource (image, fichier javascript, feuille de style) se télécharge en même temps.

Je peux éventuellement aider pour la configuration de nginx, même si ce n'est pas ma spécialité.

Bonne soirée

Edité par xela85 le 01/04/2016 - 20:01
Portrait de Nady
Hors ligne
A rejoint: 1 septembre 2011
Contributions: 889
Re: Crypter le traffic HTTP

Sérieux c'est juste super important la sécurité sur ce genre de site et tout le monde s'en fout ok
Donc je remonte.

Portrait de YuGiOhJCJ
Hors ligne
A rejoint: 9 septembre 2011
Contributions: 222
Re: Crypter le traffic HTTP

Punaise cette suggestion date de 2015 et toujours rien à ce sujet sur la feuille de route du site ?

Bon moi j'ai mis SSL sur mon serveur web donc j'explique comment on fait :
1) Aller sur https://letsencrypt.org/
2) Aller dans Documentation > ACME Client Implementations > Certbot https://certbot.eff.org
3) Suivre les indications

En passant par Certbot, on obtient un certificat SSL gratuitement.
Je précise que ça fonctionne sur Apache car actuellement c'est le serveur web utilisé par le site du Hooper :

$ wget --quiet -O - --save-headers hooper.fr | grep "Server:"
Server: Apache

Donc il faut faire cet effort pour un peu de sécurité car actuellement la situation est catastrophique.

Edité par YuGiOhJCJ le 12/08/2017 - 12:26

Le Blindtest sur Amstrad CPC 6128

Le Championnat Rocket League 2018 Hooper.fr

Portrait de Don Patch
Hors ligne
A rejoint: 3 février 2016
Contributions: 1316
Re: Crypter le traffic HTTP

Ce serait peu être plus efficace de communiquer tout ceci directement par message privé au Web Master ou du moins aux modérateurs afin d'être sûr qu'ils transmettent l'info car sa a l'air important.

Edité par Don Patch le 12/08/2017 - 12:57

Portrait de YuGiOhJCJ
Hors ligne
A rejoint: 9 septembre 2011
Contributions: 222
Re: Crypter le traffic HTTP

Citation:
Ce serait peu être plus efficace de communiquer tout ceci directement par message privé au Web Master ou du moins aux modérateurs afin d'être sûr qu'ils transmettent l'info car sa a l'air important.

Tu as raison.
Voilà qui est fait :

De : YuGiOhJCJ
À : LittleHardy
Sujet : Suggestion : crypter le trafic HTTP
Date : 17/08/2017 - 11:29
Bonjour,

La suggestion de crypter le trafic HTTP soumise le 28/05/2015 à 11:48 par xela85 me semble suffisamment urgente pour t'envoyer un MP.
En effet, cette suggestion concerne la sécurité du site web du Hooper.
Chaque jour supplémentaire sans cette fonctionnalité augmente le risque.
Je compte sur toi pour transmettre l'information à l'administrateur.

Merci.
Cordialement.

Edité par YuGiOhJCJ le 17/08/2017 - 10:35

Le Blindtest sur Amstrad CPC 6128

Le Championnat Rocket League 2018 Hooper.fr

Portrait de Amaterasu
Hors ligne
A rejoint: 4 septembre 2011
Contributions: 32
Re: Crypter le traffic HTTP

J'allais justement envoyer un message au webmaster quand j'ai vu ça. De nos jours, avec let's encrypt, il est très facile de pouvoir faire passer son site en HTTPS, et c'est devenu quasiment obligatoire. Il me semble même que Firefox dans des prochaines mises à jours va automatiquement mettre les sites uniquement HTTP en "dangereux".

D'ailleurs, les identifiants (mdp notamment...) sont transmis en clair, ce qui est problématique, notamment pour ceux dont le mdp est le même que celui utilisé pour l'adresse mail.

Cela demandera certes un peu de travail mais rien de bien problématiques je pense.

Gros Ours
Portrait de Hooper
Hors ligne
A rejoint: 19 août 2011
Contributions: 9261
Re: Crypter le traffic HTTP

Pas de panique, ça fait des mois que notre Webmaster bosse sur cette histoire de HTTPS, ça sera bientôt opérationnel :)

Portrait de Goku
Hors ligne
A rejoint: 1 septembre 2011
Contributions: 119
Re: Crypter le traffic HTTP

Google Chrome 68 va "alarmer" l'utilisateur sur les sites qui utilisent encore le HTTP, ce qui risque de faire fuir certaines personnes du site.
Je me permets de partager l'info si ça peut accélérer les choses.

Source: https://www.lesnumeriques.com/vie-du-net/google-chrome-68-va-pointer-doigt-sites-non-securises-n76575.html
https://www.zdnet.fr/actualites/site-non-securise-google-chrome-68-alerte-et-met-la-pression-39871569.htm

Edité par Goku le 24/07/2018 - 10:28
Portrait de YuGiOhJCJ
Hors ligne
A rejoint: 9 septembre 2011
Contributions: 222
Re: Crypter le traffic HTTP

Et voilà on est en HTTPS depuis la maintenance de ce matin sur hooper.fr merci à ceux qui ont participé à mettre en place cette sécurité.

Le Blindtest sur Amstrad CPC 6128

Le Championnat Rocket League 2018 Hooper.fr