https 18
Forums > Magazine & Site Internet
En fait je crois qu'il n'y a jamais eu de certificat.
Ceci il me semble que le site de bbe est hébergé par OVH, et peut-être est-il possible de se faire générer un certificat avec let's encrypt.
Sur les offres mutualisées possible et c'est gratuit.
Il y a un vieux certificat auto signé, mais plus valide depuis des lustres (genre fin de la première année d'hébergement).
Juste avec https:// à la place de http:// mais cela ne donne sur rien. D'où ma question de départ.
J'essaie de basculer le maximum de mes connexions en https parce que ces temps-ci je me déplace un peu (beaucoup) et je n'aime pas trop passer mes login/password (pour le forum et les PP) en clair. Bon après ce n'est pas non plus vital c'est juste que je suis curieux
Ah oui, quand même...
J'avais bon espoir que le mot de passe ne soit pas transmis en clair sur le réseau, mais qu'on transmette (par exemple) un hash (MD5+HMAC) du login+mot de passe+nonce+infos de connection (adresse IP, ...).
Et bien non, le mot de passe est en clair. Pas génial.
@ZeBoss : est-ce que tu as la possibilité de changer ça ? Est-ce que tu as besoin d'aide pour implémenter une solution ?
@Emmanuel :
tu as deux méthodes en http (https://fr.wikipedia.org/wiki/Authentification_HTTP). L'une des deux utilise effectivement un hash. Mais cela reste quand même moins sécurisé que le https.
La deuxième chose (moins importante dans ce cas précis en ce qui me concerne) c'est la possibilité de suivre/filtrer des connexions en http plus simple qu'en https (c'est faisable mais il faut un fw qui décode/ré-encode et cela demande de la puissance, peu d'entreprises le mettent en place).
- Emmanuel Deloget
Je te rassure, c'est aussi mon métier Donc je suis bien au courant de ce qui peut se faire, les limitations, les machins, les trucs ; outre le fait de ne pas permettre le passage en clair du login+password, l'idée de passer un hash permet par exemple d'encoder une certain nombre d'informations importantes liée à la connexion (dont l'adresse IP, par exemple) ce qui permet de réduire - sans éliminer complètement - les possibilités de vol de données pendant le transfert, les données volées n'étant pas directement exploitables pour se connecter en lieu et place de la cible ; mais pour une attaque en MitM c'est loin d'être suffisant.
HTTPS offre une sécurité supplémentaire dans le sens où il ne rends vraiment pas facile l'écoute des échanges entre le client web et le serveur web, mais il faut aussi jouer avec des hash pour renforcer cette sécurité - les password stockés dans la DB du serveur ne doivent pas être en clair non plus, sans quoi l'utilisateur court le risque de quand même se faire voler ses données d'identification si le serveur est hacké (et ça arrive si souvent que ça me fait de la peine...). De même, le hash stocké coté serveur doit être créé de manière à résister aux rainbow tables, et donc à leur décodage trop rapide - même en cas de password faible.
Décoder / recoder une connexion HTTPS est largement faisable, et en fait, ça se fait très souvent en entreprise. Une machine costaud suffit (un core i7 par exemple, ou un serveur Xeon) et la plupart des distributions type pfsense le supporte aisément. La majorité des proxy web peuvent être configurés pour intercepter le HTTPS (cf. squid par exemple). En entreprise, on peut obliger l'utilisateur a installer sur sa machine un certificat racine authentifiant les connexions basées sur le certificat du proxy, de manière à ne pas avoir les popup "connexion surveillée" ou "brèche de sécurité" dans les navigateurs. En pratique, c'est très courant dans les boites d'une certaine taille (pourquoi faire passer par un proxy sinon ?).
Ahah, j'ai bossé dans le domaine aussi même si ça fait deux ans que j'ai changé de métier. Dans ma boite on commence à déchiffre le https sur les proxys (pour passer les flux dans les IDS/IPS/Antivirus), et c'est clair que ça demande quand même de l'artillerie lourde (le serveur Xeon ça suffit peut-être pour 25 utilisateurs, mais dans une grosse boite, c'est une autre histoire).
.
Bon et sinon j'avoue je n'avais pas vérifié comment mon mot de passe était géré par le site de BBE, c'est vrai que c'est pas top. Mais comme toujours il faut réfléchir "quels sont les risques ?" ou bien "que pourrait faire un pirate avec un mot de passe d'un utilisateur BBE ?".
Si je me fait piquer mon mot de passe, l'usurpateur pourra poster à ma place sur le forum... Je ne vois pas trop l'intérêt, à part peut-être pour balancer un peu de spam, mais ça disparaîtra rapidement.
L'usurpateur pourra aussi accéder à mon compte, mais heureusement BBE n'enregistre pas les cartes bleues (et c'est une très bonne chose). Donc il ne pourra pas commander un truc à mes frais. À la limite, il pourra modifier l'adresse de livraison pour se faire livrer un truc que j'ai pré-commandé (mais dans ce cas, une fois la supercherie découverte on connait son adresse, donc bof).
Dans le cas de mon compte et quelques autres particuliers (ceux qui ont été sélectionnés pour participer au Playtest H&D, ou les contributeurs CB) le pirate pourrait avoir accès à des sections privées du forum.
En fait pour un pirate, je crois que le truc le plus utile ça serait quand même de télécharger tous les PDF achetés par le compte en question. (sur mon compte, ça en fait un sacré paquet, au moins une centaine je dirais).
Conclusion : Paradoxalement je trouve que le vol d'un mot de passe sur ce site est plus préjudiciable pour BBE que pour les utilisateurs (en général c'est l'inverse, par exemple si tu tu fais piquer ton mot de passe sur Amazon tu vas le sentir passer).
PS : Finalement, j'ai fait une mini analyse de risque gratos pour BBE !
Se faire pirater son mot de passe sur le site BBE n'apporte en effet que peu de préjudice... à priori.
Le problème vient comme souvent de l'utilisateur, qui a la fâcheuse manie de mettre le même mot de passe partout. Les personnes sensibilisées ne le font pas (perso, j'en ai un différent pour chaque site), mais pour d'autres, le mot de passe d'ici pourrait aussi être le même que celui de leur site bancaire, facebook, paypal ou autre joyeuseté du genre. C'est ça que les pirates recherchent et pirater un site à priori anodin quant au gain potentiel, offre en fait quantité de mots de passe potentiellement intéressants et liés à l'identité d'individus qui plus est.
Donc, même si c'est une bonne chose que les sites s'occupent de la sécurité des données, c'est encore mieux quand les utilisateurs changent aussi leurs comportements.
Peut-on espérer revoir rapidement Paypal comme mode de réglements chez BBe ?
- MRick
Non, Paypal ne fait plus partie de mode de règlement chez BBE
C'est quoi le rapport avec le HTTPS ?
Je déterre ce sujet , ca serait ptètre bien d'y passer.
baktov
C'est fait, non ?
https://www.black-book-editions.fr
Mets juste à jour le lien dans ton navigateur…
EDIT : si ça ne marche pas, il faut peut-être mettre à jour (le cache de) ton navigateur…