Passage au https

La Communauté Suggestions / Propositions
#1

Est ce qu’il serait possible de passer le forum en HTTPS au moment du login pour chiffré le login et mot de passe ?

Sur un wifi (ouvert) avec un simple wireshark (logiciel montrant les paquets sur un réseau) il est possible de récupérer les login et mot de pass des personnes qui se connectent au forum.

En attendant je vous encourage à utiliser un vpn quand vous utilisez un wif gratuit :
Très simple à mettre en place avec une freebox V6, vous passer votre freebox en serveur et vous installer un client vpn sur votre smarphone ou tablette ou pc. Ce va créer un tunel chiffré entre votre terminal et votre freebox, apportant une couche de sécurité minimum pour éviter de se faire choper son mot de passe
Voici un tuto : http://www.gamergen.com/actualites/tuto-fr…-guide-207022-1

Sinon vous pouvez utiliser un vpn gratuit comme Hola ( https://hola.org/ )

#2

Il était question d’une refonte du site qui est effectivement maintenant bien dépassé, je ne sais pas du tout si c’est toujours d’actualité, mais dès que possible je vais faire remonter ta suggestion auprès des développeurs.

#3

franchement je vois pas l’intéret d’un https pour un forum.

A plus.

#4

Personnellement totalement incompétent pour donner un avis

#5

C’est actuellement quand tu connectes sans https ton login et mot de passe apparaît en clair dans les paquets réseau.
Un simple logiciel de snifage de paquet réseau et n’importe qui peut récupérer tes identifiants.
Donc sur wifi gratuit ouvert c’est facile de se faire piquer ses identifiants.
J’ai fait le test en essayant un plugin wireshark pour tester mon vpn
sans identifiants en clair
avec chiffrés

De même pour les pages consultées ou les sujets postés. A la limite ce n’est pas grave mais les id ça craint

#6

ca craint si on peut recup ton mot de passe j’ai pas envie de retrouver mes photos de moi nus sur le forum

#7

Disons qu’il faudrait au moins avoir le choix

#8

Pour info : http://www.commentcamarche.net/forum/affic…e-http-et-https

#9

+1

Ce problème fait partie du top 10 des risques de sécurité applicatifs web les plus critiques.

#10

Pour avoir du ssl il faut acheter un certificat, sinon tu as un avertissement de securité.

Le ssl ralenti pas mal le serveur du coup il faut avoir recours à un serveur plus puissant.

Pourquoi qelqun viendrai sniffer chez toi tes connections à un forum ? Je pense que dans ce cas il chercherais quelque chose d’autre.

Je ne connais pas d’antécédent de mdp de forum craqué et toi ?

Si par contre tes mdp sont les memes sur le forum et ton compte en banque c’est plutôt de ton coté qu’il faut voir pour la sécurité pas de wifi, mdp différents etc …

#11

Je pige quedal a ce langage!!! J’me barre ===>[]

Mdrrrrrrr

#12

Bon, je suis pas expert en sécurité mais un partie de mon boulot consiste à mettre ça en place dans les applications web sur lesquelles je bosse.

Y’a moyen de générer des certificats basiques gratuits sur https://www.startssl.com/. Ces certificats peuvent-être utilisé pour ce genre de site et sont reconnus par les navigateurs les plus courant (pour ne pas dire tous).

Y’a un peu plus de travail a faire coté serveur, mais généralement l’impact est négligeable. Rien ne vaut un test.

L’idée est de voler un couple login / mot de passe, voir adresse email.
Vu que beaucoup de personnes utilisent le même mot de passe partout, ça permet de voler ta boite email, ton compte amazon.fr (ou ta carte de crédit est enregistrée), etc…

Si quelqu’un vole ton mot de passe sur le forum (et ne le change pas) et l’utilise ailleurs, rien ne te permettra de remonter à la source du vol.

Tout a fait d’accord. Mais beaucoup des personnes ne le font pas.
Ex : http://gizmodo.com/the-25-most-popular-pas…p-us-1504852434

#13

https://www.startssl.com/ le gratuit c 'est un certificat classe 1

source ?

Cela ne correspond ni a mes tests sur serveur dedié, ni a ce que l’on peux trouver comme étude sur le net. il y a même des hebergeurs et articles qui te le déconseillent pour un site non pro.

la discussion n’en est pas moins intéressante.

Au fait des exemples de forum en https ?

#14

Je ne pense pas que ce genre de site ait besoin de plus pour un forum.
The StartSSL™ Free (Class 1) digital certificates are provided by StartCom without charge. They provide modest assurances and are meant to secure personal web sites,public forumsor web mail. Verification is done automatic and instantly by electronic means and mostly without the interference and involvement of our personnel.
Source : https://www.startssl.com/?app=39

http://www.cs.nyu.edu/artg/research/compar…comparison.html
http://stackoverflow.com/questions/548029/…does-ssl-impose
http://stackoverflow.com/questions/149274/…tps-performance
http://deanhume.com/home/blogpost/http-vs-…comparison/8107

source ? (ca m’interesse)
tu as un dédié chez qui ? OVH ?
(rien n’empêche de se contenter de sécuriser uniquement la partie identification)

Je trouve aussi :slight_smile:

Le forum de support de phpBB : https://www.phpbb.com/community/
https://forums.wildstar-online.com/forums/

Tous les forum hébergés sur https://github.com/

Pas des forum mais des sites a très forte charge en HTTPS :
https://github.com/
https://bitbucket.org
https://www.google.com
https://www.dropbox.com/

Un article très intéressant : http://www.theregister.co.uk/2014/08/07/go…ypted_websites/

#15

En effet seul la partie authentification a besoin d être sécurisée
comme le forum de nolife forum en http applet de login en https

#16

Les sources mes tests et échanges entre dévellopeurs.

Oui j’ai des serveurs dédiés.

Sur que google il peuvent avoir du https : https://www.google.fr/search?q=nombre+serveurs+google

#17

Perso j’ai un dédié OVH (proxmox avec 5 machines virtuelles) et j’ai pas trop de problème de performance.
Maintenant tout dépend du nombre d’utilisateurs concurrent que tu as.

#18

oui et puis le classe 1 ça ne passe pas avec firefox

#19

Petit test vite fais pour comparer http et https avec 10 utilisateurs concurrents qui font chacun 1000 requêtes :

**HTTP : Requests per second: 1132.97 [#/sec] (mean)

Codesysadmin@apps:~$ ab -k -n 1000 -c 10 http://localhost/crm/login
This is ApacheBench, Version 2.3 <$Revision: 655654 $>

Concurrency Level: 10
Time taken for tests: 0.883 seconds
Complete requests: 1000
Failed requests: 0
Write errors: 0
Keep-Alive requests: 995
Total transferred: 5466773 bytes
HTML transferred: 4913000 bytes
Requests per second: 1132.97 [#/sec] (mean)
Time per request: 8.826 [ms] (mean)
Time per request: 0.883 [ms] (mean, across all concurrent requests)
Transfer rate: 6048.52 [Kbytes/sec] received

HTTPS : Requests per second: 1063.73 [#/sec] (mean)

Codesysadmin@apps:~$ ab -k -n 1000 -c 10 https://localhost/crm/login
This is ApacheBench, Version 2.3 <$Revision: 655654 $>

Concurrency Level: 10
Time taken for tests: 0.940 seconds
Complete requests: 1000
Failed requests: 0
Write errors: 0
Keep-Alive requests: 994
Total transferred: 5466739 bytes
HTML transferred: 4913000 bytes
Requests per second: 1063.73 [#/sec] (mean)
Time per request: 9.401 [ms] (mean)
Time per request: 0.940 [ms] (mean, across all concurrent requests)
Transfer rate: 5678.85 [Kbytes/sec] received

La différence est vraiment pas énorme…