Connection secure pour mot de passe

[Marc]

Je me demandais si il serait possible de changer la façon de se connecter sur le forum en utilisant une connection sécure ?

 

Je ne suis pas encore convaincu que le viol du site d'il y a deux ans n'a pas été aidé par le fait qu'une connection ouverte (genre wireless dans un hotel) peut capturer le mot de passe de qui que ce soit qui se connecte sur le site.

 

J'aimerais vos commentaires sur le sujet. On est pas obliger d'avoir un certificat officiel, juste un certificat générer sur le serveur ferait l'affaire.

Tant que la communication de la connection soit encrypter, c'est suffisant à mon avis.

 

 

[Romain]

Heu... Ça coûte des sous ce truc là?

[Marc]

Heu... Ça coûte des sous ce truc là?

 

Pas si on décide de générer le certificat sur le serveur. C'est pas nécéssaire d'avoir un certificat officiel.

C'est possible, mais j'crois pas que quelqu'un va s'amuser à tricoter des certificats comme celui des dragons pour y avoir accès.

Pour le même effort, t'as plus payant ailleur.

[Romain]

Qu'est-ce que cela implique pour les utilisateurs... on devra donner un mot de passe à chaque connection? Est-ce que c'est compatible avec notre nouvelle page d'acceuil?

[Marc]

Qu'est-ce que cela implique pour les utilisateurs... on devra donner un mot de passe à chaque connection? Est-ce que c'est compatible avec notre nouvelle page d'acceuil?

 

L'idée est de protéger le mot de passe qui est envoyé quand on s'inscrit.

Le restant du serveur peut rester tel quel.

Il y aurait peut-être moyen de seulement ajouter le HTTPS comme protocole supporté par le forum.

J'ai pas fait de recherche si le portail sur lequel les dragons fonctionne supporte le HTTPS.

 

 

[wildlife]

L'idée d'ajouter la possibilité du HTTPS est bonne et ca serait un plus. Ca ne cause pas de problème avec la refonte récente selon moi. Par contre, si on y va avec du HTTPS, faudrait laisser le HTTP aussi. Car si on fait un certificat maison tel que suggéré sans le "certificate authority" (service offert par une compagnie qui permet de "valider" l'authenticité du certificat), les nouveaux usagers recevront toujours un popup qui va leur demander d'accepter le certificat non-signé. Ca va faire peur à bien des gens qui ne connaisse pas l'informatique et il vont douter du sérieux du site. Par la suite, une fois le certificat accepté, il n'y a rien d'autres à faire.

 

Donc pour la porte d'entrée je laisserais le nouveau site et le forum avec HTTP, et j'ajouterais le HTTPS comme possibilité pour ceux qui le désire.

 

Mon 2 cents.

[wildlife]

Qu'est-ce que cela implique pour les utilisateurs... on devra donner un mot de passe à chaque connection? Est-ce que c'est compatible avec notre nouvelle page d'acceuil?

 

L'idée est de protéger le mot de passe qui est envoyé quand on s'inscrit.

Le restant du serveur peut rester tel quel.

Il y aurait peut-être moyen de seulement ajouter le HTTPS comme protocole supporté par le forum.

J'ai pas fait de recherche si le portail sur lequel les dragons fonctionne supporte le HTTPS.

 

Je ne suis pas un expert en serveur Web et certificats, mais il me semble que c'est au niveau du serveur web et ses modules (ex: Apache) et de l'utilisation du protocol que le traitement d'encryption est fait, donc pour Joomla, le CMS utilisé par le site et développé en PHP, il ne devrait pas y avoir de problème selon moi. C'est surement la même chose avec IP Board. Ca reste a vérifier évidemment.

[Marc]

L'idée d'ajouter la possibilité du HTTPS est bonne et ca serait un plus. Ca ne cause pas de problème avec la refonte récente selon moi. Par contre, si on y va avec du HTTPS, faudrait laisser le HTTP aussi. Car si on fait un certificat maison tel que suggéré sans le "certificate authority" (service offert par une compagnie qui permet de "valider" l'authenticité du certificat), les nouveaux usagers recevront toujours un popup qui va leur demander d'accepter le certificat non-signé. Ca va faire peur à bien des gens qui ne connaisse pas l'informatique et il vont douter du sérieux du site. Par la suite, une fois le certificat accepté, il n'y a rien d'autres à faire.

 

Donc pour la porte d'entrée je laisserais le nouveau site et le forum avec HTTP, et j'ajouterais le HTTPS comme possibilité pour ceux qui le désire.

 

Mon 2 cents.

 

 

Très d'accord sur la suggestion. J'pense surtout aux modérateurs qui ont des pouvoirs administratifs sur le forum: le mot de passe est vraiment facile à voler.

Les champs qui passent en clair sur le réseau sont:

UserName

PassWord

 

Pas mal facile de trouver accès au site avec ça si t'es un petit peu hacker.

 

 

[Phoenixio]

Juste comme ça, c'est si utile que ça d'aler au travers du trouble pour ce certificat de sécurité?

 

Je veux dire par là qu'on a des choses hyper importantes à protéger? Oui c'est une bonne banque d'information, mais on est loin des numéros de carte de crédit...

 

Enfin, c'est comme vous voulez vraiment, mais faut aussi se poser la question du quoi on veut sécuriser...

[Romain]

Ben il y a deux ans, des hackers on détruit les comptes des trois modérateurs. C'est pour cela que nos isncriptions datent du 3 ou 4 août 2007 et que nos vieux messages sont inscrits comme _invité_romain_ _invité_madmax_ etc.

 

Nous avons été chanceux, ils auraient pu faire plus de dégats.

[Marc]

C'est justement de l'évènement dont Romain fait référence que j'aimerais protéger le site.

C'est pas des voleurs que j'ai peur, c'est des vandales.

 

 

[Phoenixio]

Ah, vu comme ça, c'est mieux effectivement... Je me souvenais de l'événement, mais comme le commun des mortels n'avait pas eu grand détail quant à la source précise du problème, et que c'était arrivé dans la même période qu'un autre forum que je connaissais... J'ai dû mélanger des moments

[wildlife]

Ah, vu comme ça, c'est mieux effectivement... Je me souvenais de l'événement, mais comme le commun des mortels n'avait pas eu grand détail quant à la source précise du problème, et que c'était arrivé dans la même période qu'un autre forum que je connaissais... J'ai dû mélanger des moments

 

Je doute fortement que le hacking a été causé grace a un "sniffeur" réseau sur le site. Si c'est l'approche qui a été employée par les hackers, je crois que c'est plutot sur les postes de travail des modérateurs qu'il y a eu une faille de sécurité. Même avec le protocoles HTTPS, le hacker a simplement besoin de mettre un "keylogger" sur le PC et va être en mesure de savoir ce qui est tapé sur le clavier pour connaitre la combinaison usager/mot de passe avec le site. Le HTTPS est surtout utilisé pour les transactions bancaires en ce moment. Selon moi, et je dis ca sous toute réserve, il y avait surement un trou de sécurité connu dans la version de IP Board qui était installé autrefois et un groupe de hackers de bas niveau a fait le "defacing" du forum probablement via un script automatique qui cherchait les sites avec du IP Board utilisé. Je dis de bas niveau parce que c'est niaiseux comme hacking, ca n'a aucun but d'hacker un site comme les dragons qui n'ont qu'une infime visibilité sur le net et il y a aucun gain monétaire.

 

Je crois qu'il est beaucoup plus intéressant d'effectuer des backups du site à intervalle régulier. Un simple "export" SQL de la BD fait manuellement en date d'aujourd'hui et conservé sur 2-3 PC serait déjà un plus, ca permettrait d'avoir une copie du contenu du forum en date d'aujourd'hui. Même chose pour le contenu de la refonte du site via l'outil Joomla. Je ne sais pas si c'est une BD Mysql derrière, mais avec l'outil phpMyadmin qui est surement installé, un export manuel se fait les deux doigts dans le nez.

 

En bout de ligne, je ne crois pas que l'effort en vaut la chandelle, c'est pas mal de trouble d'activer le HTTPS pour ce que ca va vraiment apporter selon moi, mais c'est certain que ca resterais un plus et je n'ai rien contre.

[Romain]

C'est peut-être un hasard, mais à ce moment je me connectais à partir de l'hôtel de Lancaster avec une connection sans fil.

[wildlife]

C'est peut-être un hasard, mais à ce moment je me connectais à partir de l'hôtel de Lancaster avec une connection sans fil.

 

c'est sur qu'avec une connexion sans fil non sécurisé d'un hotel, il existe surement des sniffeurs réseau pour ca pour capter ce genre d'information. Dans ce cas là, HTTPS pourrait sécuriser un peu plus.