IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> https everywhere
Options
Lx4as
posté 3 Nov 2017, 05:29
Message #1


Nouveau Membre


Groupe : Membres
Messages : 28
Inscrit : 12 Oct 2015
Membre no 196 769



Comment se fait-il que je ne peux pas me connecter à MacBidouille avec https everywhere ??

C'est dingue ça!!

Merci,

Go to the top of the page
 
+Quote Post
annapurna
posté 3 Nov 2017, 09:25
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 292
Inscrit : 31 Dec 2005
Lieu : La Drôme
Membre no 52 618



comment l'as tu configuré? quelles cases sont cochées?


--------------------
Imac 27" I7 4,2Ghz 48Go de Ram Radeon pro 580 BS 11.7.10 / Iphone 13 pro 17.4 256Go
MacBook Pro 15"Core i7 2,8ghz SSD 1To mid 2014 Ventura 13.6.6 OCLP 1.4.2 pâte thermique changée le 04/08/22
“La photographie est une brève complicité entre la prévoyance et le hasard.” John Stuart Mill
Go to the top of the page
 
+Quote Post
audionuma
posté 3 Nov 2017, 12:32
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 031
Inscrit : 27 Apr 2004
Membre no 18 176



Chez moi, avec Firefox, il n'est pas possible de se connecter en https à forum.macbidouille.com ou à macbidouille.com :
'connexion non sécurisée'.
Soit un choix de macbidouille, soit un problème sur les certificats.
https everywhere ne fait qu'essayer d'utiliser la connexion https lorsqu'elle est proposée/configurée par le serveur du domaine, mais ne peut rien si cela n'est pas disponible.
Donc a priori : (sous réserve d'informations des admins du site) il n'est pas possible de se connecter en https à macbidouille.com ou forum.macbidouille.com

Ce message a été modifié par audionuma - 3 Nov 2017, 12:33.


--------------------
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste
Futur ex-macbidouilleur, sous Dell / Ubuntu depuis 2021 !
Go to the top of the page
 
+Quote Post
Tmps
posté 16 Dec 2017, 17:21
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 993
Inscrit : 3 Nov 2002
Lieu : Overijse - Belgique
Membre no 4 477



Pourquoi, en effet, Macbidouille n'utilise toujours pas le protocole HTTPS?


--------------------
MacBook Air 13" 1.8 Ghz Core i5 - 8Gb - SSD 256 Gb - OS X.10.14.6 / Smartphone: Xiaomi Redmi 5 Note sous Android 9 entièrement synchronisé avec les services Google

Réflexe indispensable à avoir... faire des backups réguliers!!!
Utilitaires vivement recommandés: Onyx (Outil de maintenance) - Etrecheck (Outil d'analyse du système) - Malwarebytes (Anti-malwares - la version gratuite suffit largement)
Mon gestionnaire de mots de passe "coup de coeur" : BitWarden
Go to the top of the page
 
+Quote Post
Twisell
posté 19 Mar 2018, 10:17
Message #5


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 148
Inscrit : 5 Jan 2004
Lieu : Argentoratum
Membre no 13 063



La question reste ouverte...

Mais sachant qu'avec let's encrypt c'est désormais gratuit d'avoir un certificat, et que d'ailleurs OVH a automatiquement rajouté un certificat à tous ses hébergement mutualisés, ça commence à faire sérieusement tache.

Et je viens de tester l'extension DuckDuckGo qui donne des notes de sécurité aux sites web... macbidouille.com se retrouve avec une très mauvaise note "D" et une multitudes de trackers (105!) dont le fort décrié critéo...
Pour un site qui critique en permanence l'invasion de la vie privée et la lenteur des GAFAM à combler leur failles de sécurité... oui vraiment... ça fait tache

Je laisse votre site en liste blanche parce que ok vous êtes des bénévoles et tout, mais au bout d'un moment faut quand même être cohérent.
Si j'écoutais tout vos conseils à la lettre je n'aurais absolument aucune justification pour white-lister un site considéré comme si peut fiable.

Ce message a été modifié par Twisell - 19 Mar 2018, 10:18.


--------------------
Télecharger une archive personelle contenant tous les fils de discussions auxquels le membre a participé? (... ou pas malgré la RGPD)[/size]
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la règle d'éligibilité[/size]
Go to the top of the page
 
+Quote Post
ewok
posté 19 Mar 2018, 15:06
Message #6


grand pet pas d'chef
*****

Groupe : Admin
Messages : 2 919
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 2



Hello,

Bien lu, bien noté, et nous n'allons pas nous cacher derrière de fausses justifications. l'HTTPS est obligatoire de nos jours, et si nous ne l'avons pas fait c'est qu'il ne suffit pas de retoucher la config nginx dans notre cas. Mais nous allons le faire.
Concernant les pubs, il y aura toujours des trackers puisque nous affichons de la pub ! Néanmoins nous faisons le tri depuis qques temps et la façon dont nous affichons les pubs va changer complètement. Ca n'empêchera pas de faire du retargeting, mais la façon de fonctionner sera plus optimisée.

Nous n'avons pas les moyens des GAFA, d'ailleurs nous n'avons pas de moyens.

Concernant la fiabilité, pour le coup je ne suis pas d'accord. La fiabilité est un problème s'il elle est avérée compromise. Hors ce n'est pas le cas et nous ne manipulons pas de données sensibles en clair. Donc que l'on soit en retard et que ce soit dommage, oui, que cela pose un problème pour consulter des actus et des messages publics, non. Le problème il est surtout pour nous, dans le référencement.

D'ici Mai ça sera bon.


--------------------
Go to the top of the page
 
+Quote Post
yponomeute
posté 20 Mar 2018, 09:26
Message #7


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 969
Inscrit : 26 Jan 2011
Lieu : Pollachius virens
Membre no 164 083



Quel est franchement l'intérêt de chiffrer le transfert de données qui sont librement consultables par n'importe qui ?


--------------------
MBP 2017 15" avec clavier pourri et touchbar inutile
Go to the top of the page
 
+Quote Post
Dragao
posté 20 Mar 2018, 11:20
Message #8


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 314
Inscrit : 3 Dec 2017
Membre no 203 901



Détournement d'info ou commercial ?


--------------------
MacBook Pro 13' rétina début 2015 - Core i5 2,7 GHz - 8 Go de Ram - SSD 256 Go - macOS High Sierra
iPhone 6s iOS 11
iPad 2017 iOS 11
Go to the top of the page
 
+Quote Post
Twisell
posté 21 Mar 2018, 10:17
Message #9


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 148
Inscrit : 5 Jan 2004
Lieu : Argentoratum
Membre no 13 063



@ewok Merci pour cette réponse. jap.gif
Et bon courage à l'ensemble des bénévoles thumb.gif

Citation (yponomeute @ 20 Mar 2018, 09:26) *
Quel est franchement l'intérêt de chiffrer le transfert de données qui sont librement consultables par n'importe qui ?


Pour ce qui est de l'utilité, elle serait faible si on était dans un monde parfait ou les gens ne réutilisent jamais leurs mots de passe et ou les sites internet n'utilisent pas de trackers publicitaire exécutant du code javascript non-audité.
Ca éviterait juste l’usurpation d'identité et peu probable que quelqu’un se donne énormément de mal pour en arriver juste à ça.

Mais en l'état, les forums Macbidouille se reposent sur une techno relativement répandue "IP.Board" et les mots de passe sont quasiment transmis en clair.
C'est juste une question de temps avant qu'un petit malin développe une technique réutilisable pour siphonner les identifiant, mdp et email des forums basés sur "IP.Board" qui ne sont pas sécurisé en https.
A savoir si Macbidouille sera attaqué ou pas c'est encore une autre question, une autre probabilité à prendre en compte.

Et c'est vrai que c'est une question de prise de risque à évaluer au final, mais personnellement je me vaccine et je ferais vacciner mes enfants... Le passage au https relève de la même logique.


--------------------
Télecharger une archive personelle contenant tous les fils de discussions auxquels le membre a participé? (... ou pas malgré la RGPD)[/size]
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la règle d'éligibilité[/size]
Go to the top of the page
 
+Quote Post
yponomeute
posté 21 Mar 2018, 10:44
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 969
Inscrit : 26 Jan 2011
Lieu : Pollachius virens
Membre no 164 083



Citation (Twisell @ 21 Mar 2018, 10:17) *
Citation (yponomeute @ 20 Mar 2018, 09:26) *
Quel est franchement l'intérêt de chiffrer le transfert de données qui sont librement consultables par n'importe qui ?

Mais en l'état, les forums Macbidouille se reposent sur une techno relativement répandue "IP.Board" et les mots de passe sont quasiment transmis en clair.

Oui pour les mots de passe et toutes les informations sensibles.
Mais le "problème" c'est qu'en forçant https, tout le flux de données est chiffré. Le simple lecteur qui ne se connecte pas (et c'est sans nul doute la majorité des visiteurs du site) n'a aucun bénéfice avec le https. Tout ce qu'on récolte c'est de la consommation CPU supplémentaire pour chiffrer et déchiffrer les données.


--------------------
MBP 2017 15" avec clavier pourri et touchbar inutile
Go to the top of the page
 
+Quote Post
Twisell
posté 21 Mar 2018, 10:48
Message #11


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 148
Inscrit : 5 Jan 2004
Lieu : Argentoratum
Membre no 13 063



Citation (Twisell @ 21 Mar 2018, 10:17) *
@ewok Merci pour cette réponse. jap.gif
Et bon courage à l'ensemble des bénévoles thumb.gif

Citation (yponomeute @ 20 Mar 2018, 09:26) *
Quel est franchement l'intérêt de chiffrer le transfert de données qui sont librement consultables par n'importe qui ?


Pour ce qui est de l'utilité, elle serait faible si on était dans un monde parfait ou les gens ne réutilisent jamais leurs mots de passe et ou les sites internet n'utilisent pas de trackers publicitaire exécutant du code javascript non-audité.
Ca éviterait juste l’usurpation d'identité et peu probable que quelqu’un se donne énormément de mal pour en arriver juste à ça.

Mais en l'état, les forums Macbidouille se reposent sur une techno relativement répandue "IP.Board" et les mots de passe sont quasiment transmis en clair.
C'est juste une question de temps avant qu'un petit malin développe une technique réutilisable pour siphonner les identifiant, mdp et email des forums basés sur "IP.Board" qui ne sont pas sécurisé en https.
A savoir si Macbidouille sera attaqué ou pas c'est encore une autre question, une autre probabilité à prendre en compte.

Et c'est vrai que c'est une question de prise de risque à évaluer au final, mais personnellement je me vaccine et je ferais vacciner mes enfants... Le passage au https relève de la même logique.



PS: Bon je fais le malin, mais en voulant vérifier si l'email complet était visible une fois connecté, j'ai constaté que mon e-mail enregistré correspondait à une vielle adresse à laquelle je n'ais plus accès depuis environ 2008...
Pas de 2FA par contre j'ai pu changer pour une adresse actuelle sans confirmation via l'ancienne. Preuve s'il en est qu'il serait facile d'usurper et de couper l'accès à un compte via une attaque MITM (mais bon ok encore une fois l'interet est lilmité donc peu de risques effectifs).

Ce message a été modifié par Twisell - 21 Mar 2018, 10:49.


--------------------
Télecharger une archive personelle contenant tous les fils de discussions auxquels le membre a participé? (... ou pas malgré la RGPD)[/size]
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la règle d'éligibilité[/size]
Go to the top of the page
 
+Quote Post
Twisell
posté 22 Mar 2018, 17:10
Message #12


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 148
Inscrit : 5 Jan 2004
Lieu : Argentoratum
Membre no 13 063



Citation (yponomeute @ 21 Mar 2018, 10:44) *
Citation (Twisell @ 21 Mar 2018, 10:17) *
Citation (yponomeute @ 20 Mar 2018, 09:26) *
Quel est franchement l'intérêt de chiffrer le transfert de données qui sont librement consultables par n'importe qui ?

Mais en l'état, les forums Macbidouille se reposent sur une techno relativement répandue "IP.Board" et les mots de passe sont quasiment transmis en clair.

Oui pour les mots de passe et toutes les informations sensibles.
Mais le "problème" c'est qu'en forçant https, tout le flux de données est chiffré. Le simple lecteur qui ne se connecte pas (et c'est sans nul doute la majorité des visiteurs du site) n'a aucun bénéfice avec le https. Tout ce qu'on récolte c'est de la consommation CPU supplémentaire pour chiffrer et déchiffrer les données.

Bon accessoirement ça évite aussi que le FAI ait une connaissance fine des infos consultées ou postée par le lecteurs afin qu'il ne soit pas tenté d'en faire une utilisation commerciale.
Un FAI mal intentionné pourrait même dans l'absolu substituer des emplacements publicitaires décidé par le site par ceux qu'il estime plus pertinent.
Voir dans le plus tordu des scénario filtrer activement les annonce de ses concurrents pour minimiser les risques de changements d'opérateur.

Ça va contre tout les principes de la neutralité du net, mais comme ils sont en permanence remis en cause en ce moment, le passage https est aussi un acte militant dans un certain sens.
Et ça consommera toujours moins de CPU que les trackers de pub ou les saloperie qui minent en javascript.

Ce message a été modifié par Twisell - 22 Mar 2018, 17:10.


--------------------
Télecharger une archive personelle contenant tous les fils de discussions auxquels le membre a participé? (... ou pas malgré la RGPD)[/size]
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la règle d'éligibilité[/size]
Go to the top of the page
 
+Quote Post
yponomeute
posté 23 Mar 2018, 10:04
Message #13


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 969
Inscrit : 26 Jan 2011
Lieu : Pollachius virens
Membre no 164 083



Citation (Twisell @ 22 Mar 2018, 17:10) *
Un FAI mal intentionné pourrait même dans l'absolu substituer des emplacements publicitaires décidé par le site par ceux qu'il estime plus pertinent.

Faisable en https aussi facilement qu'en http.


--------------------
MBP 2017 15" avec clavier pourri et touchbar inutile
Go to the top of the page
 
+Quote Post
Twisell
posté 23 Mar 2018, 10:14
Message #14


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 148
Inscrit : 5 Jan 2004
Lieu : Argentoratum
Membre no 13 063



Citation (yponomeute @ 23 Mar 2018, 10:04) *
Citation (Twisell @ 22 Mar 2018, 17:10) *
Un FAI mal intentionné pourrait même dans l'absolu substituer des emplacements publicitaires décidé par le site par ceux qu'il estime plus pertinent.

Faisable en https aussi facilement qu'en http.

Par quelle magie?

Faut pas croire, ce n'est pas parce que les Macbidouille est à la traine que les régie publicitaires le sont (à part Critéo à vue de nez).
D’après l'analyse Gosthery tout les mouchard pub de Google et Doubleclick de ce site sont prêt pour le https et c'est logique puisque c'est dans leur propre intérêt.


--------------------
Télecharger une archive personelle contenant tous les fils de discussions auxquels le membre a participé? (... ou pas malgré la RGPD)[/size]
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la règle d'éligibilité[/size]
Go to the top of the page
 
+Quote Post
Lionel
posté 23 Mar 2018, 16:48
Message #15


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 55 328
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Citation (Twisell @ 23 Mar 2018, 10:14) *
Citation (yponomeute @ 23 Mar 2018, 10:04) *
Citation (Twisell @ 22 Mar 2018, 17:10) *
Un FAI mal intentionné pourrait même dans l'absolu substituer des emplacements publicitaires décidé par le site par ceux qu'il estime plus pertinent.

Faisable en https aussi facilement qu'en http.

Par quelle magie?

Faut pas croire, ce n'est pas parce que les Macbidouille est à la traine que les régie publicitaires le sont (à part Critéo à vue de nez).
D’après l'analyse Gosthery tout les mouchard pub de Google et Doubleclick de ce site sont prêt pour le https et c'est logique puisque c'est dans leur propre intérêt.

Tu es, comme il fallait s'y attendre, plus virulent quand on ne fait pas de https que quand Apple a une faille majeure. C'est vrai qu'un piratage de notre site aurait des conséquences terribles pour toi.


--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
Twisell
posté 23 Mar 2018, 17:29
Message #16


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 148
Inscrit : 5 Jan 2004
Lieu : Argentoratum
Membre no 13 063



Citation (Lionel @ 23 Mar 2018, 16:48) *
Citation (Twisell @ 23 Mar 2018, 10:14) *
Citation (yponomeute @ 23 Mar 2018, 10:04) *
Citation (Twisell @ 22 Mar 2018, 17:10) *
Un FAI mal intentionné pourrait même dans l'absolu substituer des emplacements publicitaires décidé par le site par ceux qu'il estime plus pertinent.

Faisable en https aussi facilement qu'en http.

Par quelle magie?

Faut pas croire, ce n'est pas parce que les Macbidouille est à la traine que les régie publicitaires le sont (à part Critéo à vue de nez).
D’après l'analyse Gosthery tout les mouchard pub de Google et Doubleclick de ce site sont prêt pour le https et c'est logique puisque c'est dans leur propre intérêt.

Tu es, comme il fallait s'y attendre, plus virulent quand on ne fait pas de https que quand Apple a une faille majeure. C'est vrai qu'un piratage de notre site aurait des conséquences terribles pour toi.

Je répond aux questions qu'on me pose et je corrige les imprécisions techniques que je constate, que viens Apple faire la dedans?
Apple n'est d'ailleurs pas un bon élève en terme de https, j'utilise personnellement LittleSnitch pour bloquer les appels http pour des suggestions web qui sont quasi impossible à désactiver proprement sous Sierra (j'ai pas upgradé).

C'est vraiment dommage ces attaques ad-hominem constantes depuis que tu m'as catalogué comme fanboy pour je ne sais quelle raison sad.gif

J'avais lancé un fil ici même et sans publicité particulière sur le sujet de l'archivage.
J'ai d'ailleurs largement échoué a remplir les objectifs que je m'était fixés car je suis pas aussi doué que j'aimerais et j'essaye de me soigner.
Tu juge peut-être ça débile, mais je suis attaché à ce que j'ai pu écrire sur MB depuis plus de 10 ans.

Cela étant dis j'ai parfaitement conscience que c'est un travail ingrat, long et qui sera réalisé bénévolement.
Et c'est pour ça que ça m’horripile d'autant plus quand je lis que "c'est inutile" là ou l'EFF et d'autres ont des dossiers techniques bien remplis pour prouver le contraire.
Bon courage à tous dans cette aventure jap.gif

Ce message a été modifié par Twisell - 23 Mar 2018, 18:11.


--------------------
Télecharger une archive personelle contenant tous les fils de discussions auxquels le membre a participé? (... ou pas malgré la RGPD)[/size]
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la règle d'éligibilité[/size]
Go to the top of the page
 
+Quote Post
flan
posté 13 Oct 2018, 09:02
Message #17


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 608
Inscrit : 1 Jul 2006
Membre no 63 808



Citation (yponomeute @ 20 Mar 2018, 10:26) *
Quel est franchement l'intérêt de chiffrer le transfert de données qui sont librement consultables par n'importe qui ?

Deux raisons :
- tes identifiants passent en clair et peuvent donc être interceptés et, si tu utilises les mêmes sur d'autres sites, ils peuvent être réutilisés ;
- le trafic peut être modifié à la volée sans que tu le saches, tu peux donc en allant consulter macbidouille normalement recevoir une page qui est modifiée à la volée et qui contient un piège (un code javascript qui exploite une faille).
Go to the top of the page
 
+Quote Post
Titoomax
posté 15 Oct 2018, 15:35
Message #18


Adepte de Macbidouille
*

Groupe : Membres
Messages : 50
Inscrit : 20 Nov 2002
Lieu : Nord Est
Membre no 4 766



Ceci est ma dernière contribution sur
CODE
http://forum.macbidouille.com
.

J'espère pour tout le monde que le https soit généralisé.

Bien cordialement et désolé car je quitte à cause de ça MacBidouille qui reste en http.
Longue vie à vous néanmoins.
Mon avant dernière contribution est à l'attention du Groupe :
Admin
Faites-en ce que vous voulez.


--------------------
Membre des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) > Liste
iMac 27' 12,2 : 10.10.5 - Time capsule modele A1409 3go - MacBookPro late 2013 os 10.11 - iPhone 6 plus 128g:128 + oldies
le tout à vendre au plus offrant au delà d'une somme minimale de 2000€ avant fin 2018
Demander Nope au numéro référencé dans mes notes perso.
Go to the top of the page
 
+Quote Post
Jérôme74
posté 19 Oct 2018, 08:40
Message #19


Adepte de Macbidouille
*

Groupe : Membres
Messages : 198
Inscrit : 13 Jan 2006
Membre no 53 419



Citation (Lionel @ 23 Mar 2018, 16:48) *
C'est vrai qu'un piratage de notre site aurait des conséquences terribles pour toi.

Hélas, oui. De nombreuses personnes utilisant le même couple identifiant / mot de passe sur de nombreux sites (gmail, facebook, linkedin, sites de rencontres, et toutes sortes de sites douteux), laisser circuler ces informations en clair sur MacBidouille peut avoir de vraiment terribles conséquences pour certains utilisateurs, en les exposant à l'usurpation d'identité et au chantage!
Go to the top of the page
 
+Quote Post
Tom25
posté 19 Oct 2018, 12:43
Message #20


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 306
Inscrit : 27 Jul 2008
Lieu : Besançon
Membre no 118 630



Oh la vache que ce genre de commentaires me hérissent le poil ! Les personnes qui s'inscrivent ici le font pour participer, alors j'aurais beaucoup de mal à admettre qu'ils ne soient jamais tombé sur des conseils en sécurité. J'utilise parfois les même pseudo/motdepasse mais uniquement sur des forums. Sur les sites plus importants je change. Accusé des bénévoles de vous "mettre en danger" parce qu'ils ne travaillent pas assez pour vous sécuriser, c'est un comble.
A la place de Lionel, je mettrais un topic en post-it en rouge expliquant que le mot de passe de connexion transite en clair, les grincheux ne pourront pas dire qu'ls ne sont pas prévenu.
Que vous mettiez au courant les gens des risques des sites http en leur expliquant la différence avec https est une très bonne chose, le site macBidouille est parfait pour ça. Mais que vous les attaquiez pour ces raisons me fou en rogne.
Le site a perdu un membre (Titoomax), ça nous a gâché notre week-end et les admins ne vont pas en dormir pendant au moins 6 nuits.

Je n'ai aucune idée du boulot que cela représente de passer de http à https , et je n'ai pas compris pourquoi c'était su grave sur un site comme celui-ci. Mais je suppose que si ça l'était tant que ça, vous auriez déjà loué un hélicoptère pour venir sur les serveurs MB et régler ça au plus vite.

Je développe des donationwares et je reçoie parfois le même genre de remarque, des mecs utilisent gratuitement pendant des années un produit que vous leur mettez à disposition, et un beau jour vous chient dessus parce que vous n'avez pas la fonction qu'ils veulent. Putain mais allez vous faire f… !


--------------------
Go to the top of the page
 
+Quote Post
Lilac Wine
posté 19 Oct 2018, 13:36
Message #21


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 684
Inscrit : 6 Dec 2009
Membre no 146 617



Mais qui crée le contenu ici, à part les membres eux-mêmes ?

Même des forums de tricot sont en https…


Go to the top of the page
 
+Quote Post
yponomeute
posté 19 Oct 2018, 14:50
Message #22


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 969
Inscrit : 26 Jan 2011
Lieu : Pollachius virens
Membre no 164 083



Citation (Tom25 @ 19 Oct 2018, 13:43) *
Le site a perdu un membre (Titoomax), ça nous a gâché notre week-end et les admins ne vont pas en dormir pendant au moins 6 nuits.

Il y aurait même eu des "nervous breakdown" comme on dit de nos jours


--------------------
MBP 2017 15" avec clavier pourri et touchbar inutile
Go to the top of the page
 
+Quote Post
Tom25
posté 19 Oct 2018, 14:59
Message #23


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 306
Inscrit : 27 Jul 2008
Lieu : Besançon
Membre no 118 630



Citation (Lilac Wine @ 19 Oct 2018, 14:36) *
Mais qui crée le contenu ici, à part les membres eux-mêmes ?

Même des forums de tricot sont en https…

Je ne sais pas, je ne tricote pas biggrin.gif . Et j'avoue ne pas faire gaffe au fait qu'un site soit https ou non quand je ne fais que le consulter ou qu'il s'agit d'un forum. J'y fais par contre beaucoup plus attention dès qu'il s'agit de trucs plus importants (achats, abonnements, etc.).

Non mais la demande est légitime, c'est qu'on mette la pression aux admins sur ce point qui m'énerve. De quel droit certains se le permettent ? Effectivement on peut arguer du fait qu'on crée du contenu, mais nous aussi on le fait bénévolement.


--------------------
Go to the top of the page
 
+Quote Post
_Panta
posté 19 Oct 2018, 17:57
Message #24


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 796
Inscrit : 24 Dec 2006
Lieu : "Over The Rainbow"
Membre no 76 401



Ah, quand les Macbidouilleurs parlent technique et sécurité, c'est toujours un grand moment de naïveté smile.gif


--------------------
- Macbook Pro M1 Pro 16.2"
- Macbook Pro TouchBar 15.4" T1 - 512GB/core i7@2,7Ghz - A VENDRE - Clavier neuf et batterie neuve, changés début 2023 (Garanti 6 mois) - SSD Samsung nVme toujours à 2,5GB/s - Gris sidéral
- Macbook Air 13,3" core i5 - iMac 27" core i5 - iPhone14 - Apple Watch 8
- Fbx Delta Devialet
Go to the top of the page
 
+Quote Post
SartMatt
posté 19 Oct 2018, 21:59
Message #25


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (flan @ 13 Oct 2018, 10:02) *
- le trafic peut être modifié à la volée sans que tu le saches, tu peux donc en allant consulter macbidouille normalement recevoir une page qui est modifiée à la volée et qui contient un piège (un code javascript qui exploite une faille).
À noter quand même que ceci est possible également en HTTPS. Seuls les certificats de plus haut niveau de sécurité offrent une réelle garantie à ce niveau (et encore... on n'est jamais à l'abri d'une fuite de clés chez une autorité de certification, qui permettrait de générer des faux certificats EV...). Les sites utilisant ces certificats se reconnaissent par exemple sous Firefox au fait qu'en plus du cadenas vert, le nom de la société gérant le site s'affiche à gauche de l'URL dans la barre d'adresse (par exemple, sur Apple.com, ça affiche "Apple Inc. (US)").

Mais tu verras sans doute jamais de tels certificats sur un site communautaire. Parce qu'ils coûtent un bras. D'ailleurs, même certains très gros sites en HTTPS n'ont pas un certificat EV (par exemple, à peu près tous les sites de gros médias français, de nombreux sites d'e-commerce, y compris Amazon... et même Google).

Pire, il suffit qu'un malware installe sur ton appareil un certificat racine dont l'auteur du malware a les clés, et il pourra alors trafiquer absolument TOUT ton trafic HTTPS sans que tu te rends compte de rien. Et sans même parler de malware, on retrouve souvent ça sur les postes de grosses boîtes, pour que le proxy puisse aussi filtrer le trafic HTTPS. Un certificat racine installé sur les postes de la boîte, et hop, le proxy se comporte comme un attaquant "man in the middle" : le traffic HTTPS est chiffré avec les certificats des serveurs cibles entre le proxy et les serveurs, et avec les certificats du proxy entre les postes de la boîte et le proxy.


Bref, le HTTPS est clairement un plus. Mais ce n'est pas non plus une garantie, loin de là.


Et le plus gros problème sans le HTTPS reste l'envoi en clair des mots de passe, comme tu le disais dans ton premier point. Les autres risques sont quand même relativement faibles.


--------------------

Go to the top of the page
 
+Quote Post
flan
posté 19 Oct 2018, 22:18
Message #26


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 608
Inscrit : 1 Jul 2006
Membre no 63 808



Citation (SartMatt @ 19 Oct 2018, 22:59) *
Citation (flan @ 13 Oct 2018, 10:02) *
- le trafic peut être modifié à la volée sans que tu le saches, tu peux donc en allant consulter macbidouille normalement recevoir une page qui est modifiée à la volée et qui contient un piège (un code javascript qui exploite une faille).
À noter quand même que ceci est possible également en HTTPS. Seuls les certificats de plus haut niveau de sécurité offrent une réelle garantie à ce niveau (et encore... on n'est jamais à l'abri d'une fuite de clés chez une autorité de certification, qui permettrait de générer des faux certificats EV...). Les sites utilisant ces certificats se reconnaissent par exemple sous Firefox au fait qu'en plus du cadenas vert, le nom de la société gérant le site s'affiche à gauche de l'URL dans la barre d'adresse (par exemple, sur Apple.com, ça affiche "Apple Inc. (US)").

Mais tu verras sans doute jamais de tels certificats sur un site communautaire. Parce qu'ils coûtent un bras. D'ailleurs, même certains très gros sites en HTTPS n'ont pas un certificat EV (par exemple, à peu près tous les sites de gros médias français, de nombreux sites d'e-commerce, y compris Amazon... et même Google). Sans compter qu'il faut l'avoir dès le début sinon ça risque de ne pas fonctionner si le site a activé le HPKP qui empêche ce genre de changement de certificat.

Pire, il suffit qu'un malware installe sur ton appareil un certificat racine dont l'auteur du malware a les clés, et il pourra alors trafiquer absolument TOUT ton trafic HTTPS sans que tu te rends compte de rien. Et sans même parler de malware, on retrouve souvent ça sur les postes de grosses boîtes, pour que le proxy puisse aussi filtrer le trafic HTTPS. Un certificat racine installé sur les postes de la boîte, et hop, le proxy se comporte comme un attaquant "man in the middle" : le traffic HTTPS est chiffré avec les certificats des serveurs cibles entre le proxy et les serveurs, et avec les certificats du proxy entre les postes de la boîte et le proxy.


Bref, le HTTPS est clairement un plus. Mais ce n'est pas non plus une garantie, loin de là.


Et le plus gros problème sans le HTTPS reste l'envoi en clair des mots de passe, comme tu le disais dans ton premier point. Les autres risques sont quand même relativement faibles.

Mais en pratique, devoir récupérer un certificat légitime pour un site tierce-partie complique nettement les choses, même si comme tu dis c'est théoriquement possible.

Bien sûr, un malware peut ajouter une AC racine et après te diriger vers une contrefaçon de MB pour usurper tes identifiants (mais je pense qu'il pourrait probablement usurper les identifiants directement, sans passer par une contrefaçon de site, sauf peut-être faille spécifique qui ne permettrait que d'injecter une AC racine). Quant à la dernière hypothèse… si l'entreprise fait du vol d'identifiant sur ses employés, il y a des questions à se poser biggrin.gif En revanche, ça peut faire sauter la vérification du certificat par le proxy (soit le proxy vérifie toujours, soit il ne vérifie jamais, mais il n'y a plus moyen de donner le choix à l'utilisateur).

Ce message a été modifié par flan - 26 Oct 2018, 20:52.
Go to the top of the page
 
+Quote Post
Tina 125
posté 20 Oct 2018, 12:22
Message #27


Nouveau Membre


Groupe : Membres
Messages : 13
Inscrit : 11 Oct 2018
Lieu : Martigues
Membre no 206 056



Bonjour, smile.gif

J'avoue que, fraîchement inscrite, voir le petit avertissement dans la barre de menus : ⓘ "Connexion non sécurisée" m'a un peu tiré l'oeil.
Mais je suis bien contente d'avoir trouvé ce topic, ça me donne des infos que je n'avais pas... (que je n'aurais pas eues si j'avais lancé comme nouvelle discute "Pourquoi la connexion n'est pas en https ?").

Cela dit, j'ai Badger et uBlock Origin d'installés... Le premier ne moufte pas, et le second m'annonce juste 2 requêtes bloquées (paramètres lambda).
J'ai déjà vu sur d'autres sites de quoi battre des records de fuite. ph34r.gif


--------------------
Maquebouque Pro Fatche (du sud) mi-2010 : 13" . 2,4 GHz . IC2D . 8 Go MHz DDR3 . SSD k . Nvidia 320M 256 Mo . High Sierra 10.13.4 ~ LaCie 500 Go
Go to the top of the page
 
+Quote Post
mazelle jeanne
posté 20 Oct 2018, 18:31
Message #28


Macbidouilleuse d'or !
*****

Groupe : Membres
Messages : 4 561
Inscrit : 11 Jul 2006
Lieu : paris
Membre no 64 304



Citation (Jérôme74 @ 19 Oct 2018, 09:40) *
Citation (Lionel @ 23 Mar 2018, 16:48) *
C'est vrai qu'un piratage de notre site aurait des conséquences terribles pour toi.

Hélas, oui. De nombreuses personnes utilisant le même couple identifiant / mot de passe sur de nombreux sites (gmail, facebook, linkedin, sites de rencontres, et toutes sortes de sites douteux), laisser circuler ces informations en clair sur MacBidouille peut avoir de vraiment terribles conséquences pour certains utilisateurs, en les exposant à l'usurpation d'identité et au chantage!

Si ces personnes sont inscrites sur MacBidouille, je ne doute pas qu'elles aient lu et relu les mises en garde et les conseils sur la gestion des mots de passe et donc si elles n'en tiennent pas compte le passage en https ne les aidera pas à s'acheter un cerveau. tongue.gif


--------------------
Arrêtez le monde je veux descendre (Woody Allen)
___________________________________________
Imac G5 avec OS 10.4 Tiger
Imac intel core i5 avec Snow Leopard et El Capitan
Go to the top of the page
 
+Quote Post
Jérôme74
posté 22 Oct 2018, 09:54
Message #29


Adepte de Macbidouille
*

Groupe : Membres
Messages : 198
Inscrit : 13 Jan 2006
Membre no 53 419



Citation (Tom25 @ 19 Oct 2018, 12:43) *
Accuser des bénévoles de vous "mettre en danger" parce qu'ils ne travaillent pas assez pour vous sécuriser, c'est un comble.

On se calme, j'apprécie MacBidouille pour ce qu'il est, un site non commercial, avec les avantages et les inconvénients qui en découlent, et j'ai le plus grand respect pour l'investissement de tous les membres de l'équipe dedans. Simplement, nier qu'il y a un réel problème à ne pas utiliser HTTPS pour la saisie du mot de passe, alors même qu'on relaie des tas d'affaires de piratage de masse, je trouve ça un peut léger.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 28th March 2024 - 22:43