Tout le trafic web inhérent au site, que ce soient les pages web ou les identifiants et mots de passes, est transmis en clair sur Internet. Il est donc facile de récupérer les identifiants de n'importe quel membre ou modérateur et écoutant le trafic réseau.
Je pense que nous sommes d'accord pour dire que ce n'est pas du tout sécurisé de la part d'un site de cette taille.
Est-ce qu'il serait possible de mettre en place un système gérant au moins l'authentification par SSL ?
Il me semble que l'hébergement du site est fait sur serveur dédié. Il existe une bonne panoplie de certificats SSL gratuits (comme StartSSL) qui permettent de sécuriser aisément son site (notamment par le biais le module SSL d'Apache).
Bravo à Martialou pour son travail, et bonne chance pour ses futurs travaux :).
J'y connais rien, mais je fais remonter la chose.
Bonjour,
Je réitère ma suggestion :). (attention termes techniques ci-dessous ;) )
Au passage il serait possible de mettre en place ce système avec nginx en reverse proxy, avec support d'HTTP2. Ça compenserait le coût de SSL, et ça permettrait des temps de chargement plus rapides (multiplexage de la connexion pour charger les ressources sur un seul socket).
Petite explication pour les curieux :
Avec le protocole HTTP1.1, le téléchargement des données se fait un à un, comme ceci :
Avec HTTP2, chaque ressource (image, fichier javascript, feuille de style) se télécharge en même temps.
Je peux éventuellement aider pour la configuration de nginx, même si ce n'est pas ma spécialité.
Bonne soirée
Sérieux c'est juste super important la sécurité sur ce genre de site et tout le monde s'en fout ok
Donc je remonte.
Punaise cette suggestion date de 2015 et toujours rien à ce sujet sur la feuille de route du site ?
Bon moi j'ai mis SSL sur mon serveur web donc j'explique comment on fait :
1) Aller sur https://letsencrypt.org/
2) Aller dans Documentation > ACME Client Implementations > Certbot https://certbot.eff.org
3) Suivre les indications
En passant par Certbot, on obtient un certificat SSL gratuitement.
Je précise que ça fonctionne sur Apache car actuellement c'est le serveur web utilisé par le site du Hooper :
Donc il faut faire cet effort pour un peu de sécurité car actuellement la situation est catastrophique.
Ce serait peu être plus efficace de communiquer tout ceci directement par message privé au Web Master ou du moins aux modérateurs afin d'être sûr qu'ils transmettent l'info car sa a l'air important.
Tu as raison.
Voilà qui est fait :
De : YuGiOhJCJ
À : LittleHardy
Sujet : Suggestion : crypter le trafic HTTP
Date : 17/08/2017 - 11:29
Bonjour,
La suggestion de crypter le trafic HTTP soumise le 28/05/2015 à 11:48 par xela85 me semble suffisamment urgente pour t'envoyer un MP.
En effet, cette suggestion concerne la sécurité du site web du Hooper.
Chaque jour supplémentaire sans cette fonctionnalité augmente le risque.
Je compte sur toi pour transmettre l'information à l'administrateur.
Merci.
Cordialement.
J'allais justement envoyer un message au webmaster quand j'ai vu ça. De nos jours, avec let's encrypt, il est très facile de pouvoir faire passer son site en HTTPS, et c'est devenu quasiment obligatoire. Il me semble même que Firefox dans des prochaines mises à jours va automatiquement mettre les sites uniquement HTTP en "dangereux".
D'ailleurs, les identifiants (mdp notamment...) sont transmis en clair, ce qui est problématique, notamment pour ceux dont le mdp est le même que celui utilisé pour l'adresse mail.
Cela demandera certes un peu de travail mais rien de bien problématiques je pense.
Pas de panique, ça fait des mois que notre Webmaster bosse sur cette histoire de HTTPS, ça sera bientôt opérationnel :)
Google Chrome 68 va "alarmer" l'utilisateur sur les sites qui utilisent encore le HTTP, ce qui risque de faire fuir certaines personnes du site.
Je me permets de partager l'info si ça peut accélérer les choses.
Source: https://www.lesnumeriques.com/vie-du-net/google-chrome-68-va-pointer-doigt-sites-non-securises-n76575.html
https://www.zdnet.fr/actualites/site-non-securise-google-chrome-68-alerte-et-met-la-pression-39871569.htm
Et voilà on est en HTTPS depuis la maintenance de ce matin sur hooper.fr merci à ceux qui ont participé à mettre en place cette sécurité.