Https

Forum interne
#1

bonjour

je sais que le forum est accessible en https. mais je sais aussi que ça demande un peu plus de travail au serveur apache.

je voudrais juste proposer, de forcer uniquement la page de connexion en https. mais je suis aussi conscient des problèmes que cela peut poser car le certificat est auto-signé. donc message d’erreur dans firefox/iceweasel, et alerte à la bombe dans ie…

sinon je n’ai aucune idée du prix d’un certifacat valide chez les autorités compétentes en la matière.

voila c’était mon idée du jour pour faire avancer le shimiliblik.

#2

cher. trop cher.

#3

oui mais …dans la liste des autoritées de certification de iceweasel, il y a StartCom Ltd .
ils proposent des certificats de niveau 1 gratuitement (suffit pour un site perso ou un forum)
certificats valides 365 jours
http://cert.startcom.org/

i
StartCom provides certificates through an easy web based interface wizard and sign up process - free of charge. With our installation instructions, you’ll have your secured web site running or your email exchange secured within minutes.
(…)
By applying a completely different and new business model compared to traditional certification authorities, we are able to prove here, that digital certificates can cost much less or may be even free of charge! Instantly! Furthermore, every certificate from StartCom is insured up to US$ 10,000 if your customers were to suffer financial loss as a direct result of relying on a certificate that was issued through our negligence! This and other measures permits the visitors and customers of your site to fully rely and trust in StartCom.
(…)
Many software vendors like Mozilla (Firefox) and Apple (Safari) provide built-in support of the StartCom Certification Authority. Sometimes however it’s required to import our CA certificate into your browser.
(…)[/i]

donc c’est possible qu’avec ie ça bloque, et qu’il faille importer … mais à mon humble avis , si tu postes sur ce forum, tu dois être capable de le faire… si ça ne touche que la page de connexion, ça n’empeche en tout cas personne de naviguer sur le forum sans problème.

#4

Quel est l’intérêt?

#5

l’interet ? mais c’est énorme, un truc de dingues, le jour et la nuit !!!

je t’explique : :smt024

interet de forcer la page ou tu saisis ton nom et ton mot de passe en https :
–> permet de crypter cet échange entre ton navigateur et le serveur web du forum. quand il y a un mot de passe sur la page, moi je prefere en https. même si bien sur cela n’a pas d’impact sur la sécurité nationale.

interet d’installer un certificat sur le serveur du forum qui soit validé par une Autorité de certification :
–> comme le site est disponible en https, ça évite toujours d’avoir la page ‘erreur certificat auto-signé’.
–> ça fait pro (deja ça fait les mecs qui savent faire, et faut pas venir les emmerder, parce que les certifs ils maitrisent grave).
–> une fois fait, ça fera toujours un post de plus dans T&A.

interet de penser à tout ça :
–> pourquoi pas ? en tout cas moi ça m’interesse plus que compiz ou les widgets à julien …

voila. alors convaicu ou pas ? :smt017 :smt011 :smt012 :smt015 :smt018
allez fais pas cette tête, je vois bien que t’es bleuffé ! :smt023 :smt025

#6

Ed maitrise grave l’admin sys :wink:

#7

L’installation d’un certificat et l’utilisation du protocole https peut-être intéressante mais il utilise plus de ressource aussi alors pourquoi s’embêter à utiliser plus de ressource pour quelque chose qui se veux libre.

Je ne dis pas non plus qu’il ne faut rien sécuriser mais si tu change ton mdp régulièrement comme le fait MattOTop t’es pratiquement certain de ne pas te faire piquer ton compte. Et je parierais même qu’il n’a aucune idée de son mot de passe pour le forum hein Matt :wink:

#8

J’ai plusieurs sites en https parce que là ça se justifie, le certificat autosigné n’est pas gênant, les personnes le valident la première fois, par la suite il est important qu’ils n’aient pas à le revalider (d’où l’importance du «Toujours» vs «pour cette session seulement»). J’avoue que ici, surcharger la machine pour ça me parait un peu inutile…

#9

oui mais de cette manière, si je souhaites sécuriser la saisie de mon mot de passe, toute ma session va être en https et je vais charger le serveur.

alors que si seule la page de connexion l’est en automatique, la charge sera moindre, et la securité sera effective par défaut pour tout le monde.

beaucoup de webmails font comme ça, ça leur evite de laisser l’ensemble de la session en https.

et le fait d’avoir le certificat valide evite les éventuelles pages d’erreur du navigateur. à ce niveau il n’a pas d’autre utilité.

c’est vrai que ce n’est pas une obligation, mais personnellement je prefere securiser les transaction login/password. même en étant moi même admin réseau, je suis le premier à refuser de changer régulièrement de mot de passe …

#10

quote="Ashgenesis"
Je ne dis pas non plus qu’il ne faut rien sécuriser mais si tu change ton mdp régulièrement comme le fait MattOTop t’es pratiquement certain de ne pas te faire piquer ton compte. Et je parierais même qu’il n’a aucune idée de son mot de passe pour le forum hein Matt :wink:[/quote] Absolument. Je le copie/colle une première fois, et il est mêmorisé dans mon kwallet.

#11

Suffit de choisir des bons mots de passe, créé à partir d’une phrase, de 10 ou 12 caractères avec des ponctuation et de la casse. Un tout les 6 mois.

Je me connecte avec différent PC donc un simple copier/coller ne suffit pas.

#12

quote="MisterFreez"
Je me connecte avec différent PC donc un simple copier/coller ne suffit pas.[/quote]J’ai le message avec le mot de passe dans un répertoire imap.

#13

Tu y accède de manière sécurisé au moins ?
Moi la connexion entre mon cerveau et mes doigts est entièrement cryptée j’ai aucun souci au niveau sécurité de ce coté là (même si le système à des fuites de mémoire de temps en temps). :astonished:

Pour être plus serieu imap je connais ça que pour les mails il y a d’autres usages ?

#14

[quote=“MisterFreez”]Tu y accède de manière sécurisé au moins ?[/quote]Oeuf corse. tls+accés seulement par mon vpn. quote="MisterFreez"
Pour être plus serieu imap je connais ça que pour les mails il y a d’autres usages ?[/quote] Tu peux y stocker des données d’agenda, de tâches, etc (bref, tout ce qui peut être stocké dans un mail). Tu peux avoir des répertoires partagés entre les utilisateurs, aussi.

#15

Ben matt alors t’es parti pour un petit tutos :wink: ou au moins quelques liens de références pour l’utilisation du protocole imap de cette manière :smiley:

#16

think-underground.com/post/2 … e-a-l-imap
par exemple ?
J’ai pas tout lu, mais il me semble qu’il y a les infos qu’il faut pour la plupart des utilisations.

#17

Je vais voir ce que je peux faire pour renouveller les certificats et faire en sorte que cela soit en https par défaut.

#18

bon j’ai matté starcom, impossible de créer un compte, je laisse tomber :slightly_smiling:

#19

bon, dans phpbb, par défaut, on peut forcer, ou alors forcer :slightly_smiling:

En fait ya pas un système avec fallback c’est https ou http en forçage, mais ya pas un système qui dit “faites gaffe vous êtes en http normal”.

Si quelqu’un est motivé…

#20

ah merde … j’avais essayé l’inscription et la création des certificats pour mon webmail, ça a marché jusqu’au bout.

starcom te génére d’abord un certificat pour t’authentifier sur leur site, plus besoin de login/mot de passe. si on pouvait en arriver là … par contre ça implique de se balader avec son certificat pour ceux qui utilisent plusieurs connexions (maison, boulot …)

mais ensuite j’avais pas réussi à installer les certificats sur mon serveur zimbra, et j’avais eu du mal avec les messages d’erreur ssl.