Version imprimable du sujet
Cliquez ici pour voir ce sujet dans son format original
Forums MacBidouille _ Macbidouille : Le site _ https everywhere
Écrit par : Lx4as 3 Nov 2017, 05:29
Comment se fait-il que je ne peux pas me connecter à MacBidouille avec https everywhere ??
C'est dingue ça!!
Merci,
Écrit par : annapurna 3 Nov 2017, 09:25
comment l'as tu configuré? quelles cases sont cochées?
Écrit par : audionuma 3 Nov 2017, 12:32
Chez moi, avec Firefox, il n'est pas possible de se connecter en https à forum.macbidouille.com ou à macbidouille.com :
'connexion non sécurisée'.
Soit un choix de macbidouille, soit un problème sur les certificats.
https everywhere ne fait qu'essayer d'utiliser la connexion https lorsqu'elle est proposée/configurée par le serveur du domaine, mais ne peut rien si cela n'est pas disponible.
Donc a priori : (sous réserve d'informations des admins du site) il n'est pas possible de se connecter en https à macbidouille.com ou forum.macbidouille.com
Écrit par : Macbox 16 Dec 2017, 17:21
Pourquoi, en effet, Macbidouille n'utilise toujours pas le protocole HTTPS?
Écrit par : Twisell 19 Mar 2018, 10:17
La question reste ouverte...
Mais sachant qu'avec let's encrypt c'est désormais gratuit d'avoir un certificat, et que d'ailleurs OVH a automatiquement rajouté un certificat à tous ses hébergement mutualisés, ça commence à faire sérieusement tache.
Et je viens de tester l'extension DuckDuckGo qui donne des notes de sécurité aux sites web... macbidouille.com se retrouve avec une très mauvaise note "D" et une multitudes de trackers (105!) dont le fort décrié critéo...
Pour un site qui critique en permanence l'invasion de la vie privée et la lenteur des GAFAM à combler leur failles de sécurité... oui vraiment... ça fait tache
Je laisse votre site en liste blanche parce que ok vous êtes des bénévoles et tout, mais au bout d'un moment faut quand même être cohérent.
Si j'écoutais tout vos conseils à la lettre je n'aurais absolument aucune justification pour white-lister un site considéré comme si peut fiable.
Écrit par : ewok 19 Mar 2018, 15:06
Hello,
Bien lu, bien noté, et nous n'allons pas nous cacher derrière de fausses justifications. l'HTTPS est obligatoire de nos jours, et si nous ne l'avons pas fait c'est qu'il ne suffit pas de retoucher la config nginx dans notre cas. Mais nous allons le faire.
Concernant les pubs, il y aura toujours des trackers puisque nous affichons de la pub ! Néanmoins nous faisons le tri depuis qques temps et la façon dont nous affichons les pubs va changer complètement. Ca n'empêchera pas de faire du retargeting, mais la façon de fonctionner sera plus optimisée.
Nous n'avons pas les moyens des GAFA, d'ailleurs nous n'avons pas de moyens.
Concernant la fiabilité, pour le coup je ne suis pas d'accord. La fiabilité est un problème s'il elle est avérée compromise. Hors ce n'est pas le cas et nous ne manipulons pas de données sensibles en clair. Donc que l'on soit en retard et que ce soit dommage, oui, que cela pose un problème pour consulter des actus et des messages publics, non. Le problème il est surtout pour nous, dans le référencement.
D'ici Mai ça sera bon.
Écrit par : yponomeute 20 Mar 2018, 09:26
Quel est franchement l'intérêt de chiffrer le transfert de données qui sont librement consultables par n'importe qui ?
Écrit par : Dragao 20 Mar 2018, 11:20
Détournement d'info ou commercial ?
Écrit par : Twisell 21 Mar 2018, 10:17
@ewok Merci pour cette réponse. 
Et bon courage à l'ensemble des bénévoles 
Pour ce qui est de l'utilité, elle serait faible si on était dans un monde parfait ou les gens ne réutilisent jamais leurs mots de passe et ou les sites internet n'utilisent pas de trackers publicitaire exécutant du code javascript non-audité.
Ca éviterait juste l’usurpation d'identité et peu probable que quelqu’un se donne énormément de mal pour en arriver juste à ça.
Mais en l'état, les forums Macbidouille se reposent sur une techno relativement répandue "IP.Board" et les mots de passe sont quasiment transmis en clair.
C'est juste une question de temps avant qu'un petit malin développe une technique réutilisable pour siphonner les identifiant, mdp et email des forums basés sur "IP.Board" qui ne sont pas sécurisé en https.
A savoir si Macbidouille sera attaqué ou pas c'est encore une autre question, une autre probabilité à prendre en compte.
Et c'est vrai que c'est une question de prise de risque à évaluer au final, mais personnellement je me vaccine et je ferais vacciner mes enfants... Le passage au https relève de la même logique.
Écrit par : yponomeute 21 Mar 2018, 10:44
Mais en l'état, les forums Macbidouille se reposent sur une techno relativement répandue "IP.Board" et les mots de passe sont quasiment transmis en clair.
Oui pour les mots de passe et toutes les informations sensibles.
Mais le "problème" c'est qu'en forçant https, tout le flux de données est chiffré. Le simple lecteur qui ne se connecte pas (et c'est sans nul doute la majorité des visiteurs du site) n'a aucun bénéfice avec le https. Tout ce qu'on récolte c'est de la consommation CPU supplémentaire pour chiffrer et déchiffrer les données.
Écrit par : Twisell 21 Mar 2018, 10:48
Et bon courage à l'ensemble des bénévoles
Pour ce qui est de l'utilité, elle serait faible si on était dans un monde parfait ou les gens ne réutilisent jamais leurs mots de passe et ou les sites internet n'utilisent pas de trackers publicitaire exécutant du code javascript non-audité.
Ca éviterait juste l’usurpation d'identité et peu probable que quelqu’un se donne énormément de mal pour en arriver juste à ça.
Mais en l'état, les forums Macbidouille se reposent sur une techno relativement répandue "IP.Board" et les mots de passe sont quasiment transmis en clair.
C'est juste une question de temps avant qu'un petit malin développe une technique réutilisable pour siphonner les identifiant, mdp et email des forums basés sur "IP.Board" qui ne sont pas sécurisé en https.
A savoir si Macbidouille sera attaqué ou pas c'est encore une autre question, une autre probabilité à prendre en compte.
Et c'est vrai que c'est une question de prise de risque à évaluer au final, mais personnellement je me vaccine et je ferais vacciner mes enfants... Le passage au https relève de la même logique.
PS: Bon je fais le malin, mais en voulant vérifier si l'email complet était visible une fois connecté, j'ai constaté que mon e-mail enregistré correspondait à une vielle adresse à laquelle je n'ais plus accès depuis environ 2008...
Pas de 2FA par contre j'ai pu changer pour une adresse actuelle sans confirmation via l'ancienne. Preuve s'il en est qu'il serait facile d'usurper et de couper l'accès à un compte via une attaque MITM (mais bon ok encore une fois l'interet est lilmité donc peu de risques effectifs).
Écrit par : Twisell 22 Mar 2018, 17:10
Mais en l'état, les forums Macbidouille se reposent sur une techno relativement répandue "IP.Board" et les mots de passe sont quasiment transmis en clair.
Oui pour les mots de passe et toutes les informations sensibles.
Mais le "problème" c'est qu'en forçant https, tout le flux de données est chiffré. Le simple lecteur qui ne se connecte pas (et c'est sans nul doute la majorité des visiteurs du site) n'a aucun bénéfice avec le https. Tout ce qu'on récolte c'est de la consommation CPU supplémentaire pour chiffrer et déchiffrer les données.
Bon accessoirement ça évite aussi que le FAI ait une connaissance fine des infos consultées ou postée par le lecteurs afin qu'il ne soit pas tenté d'en faire une utilisation commerciale.
Un FAI mal intentionné pourrait même dans l'absolu substituer des emplacements publicitaires décidé par le site par ceux qu'il estime plus pertinent.
Voir dans le plus tordu des scénario filtrer activement les annonce de ses concurrents pour minimiser les risques de changements d'opérateur.
Ça va contre tout les principes de la neutralité du net, mais comme ils sont en permanence remis en cause en ce moment, le passage https est aussi un acte militant dans un certain sens.
Et ça consommera toujours moins de CPU que les trackers de pub ou les saloperie qui minent en javascript.
Écrit par : yponomeute 23 Mar 2018, 10:04
Faisable en https aussi facilement qu'en http.
Écrit par : Twisell 23 Mar 2018, 10:14
Faisable en https aussi facilement qu'en http.
Par quelle magie?
Faut pas croire, ce n'est pas parce que les Macbidouille est à la traine que les régie publicitaires le sont (à part Critéo à vue de nez).
D’après l'analyse Gosthery tout les mouchard pub de Google et Doubleclick de ce site sont prêt pour le https et c'est logique puisque c'est dans leur propre intérêt.
Écrit par : Lionel 23 Mar 2018, 16:48
Faisable en https aussi facilement qu'en http.
Par quelle magie?
Faut pas croire, ce n'est pas parce que les Macbidouille est à la traine que les régie publicitaires le sont (à part Critéo à vue de nez).
D’après l'analyse Gosthery tout les mouchard pub de Google et Doubleclick de ce site sont prêt pour le https et c'est logique puisque c'est dans leur propre intérêt.
Tu es, comme il fallait s'y attendre, plus virulent quand on ne fait pas de https que quand Apple a une faille majeure. C'est vrai qu'un piratage de notre site aurait des conséquences terribles pour toi.
Écrit par : Twisell 23 Mar 2018, 17:29
Faisable en https aussi facilement qu'en http.
Par quelle magie?
Faut pas croire, ce n'est pas parce que les Macbidouille est à la traine que les régie publicitaires le sont (à part Critéo à vue de nez).
D’après l'analyse Gosthery tout les mouchard pub de Google et Doubleclick de ce site sont prêt pour le https et c'est logique puisque c'est dans leur propre intérêt.
Tu es, comme il fallait s'y attendre, plus virulent quand on ne fait pas de https que quand Apple a une faille majeure. C'est vrai qu'un piratage de notre site aurait des conséquences terribles pour toi.
Je répond aux questions qu'on me pose et je corrige les imprécisions techniques que je constate, que viens Apple faire la dedans?
Apple n'est d'ailleurs pas un bon élève en terme de https, j'utilise personnellement LittleSnitch pour bloquer les appels http pour des suggestions web qui sont quasi impossible à désactiver proprement sous Sierra (j'ai pas upgradé).
C'est vraiment dommage ces attaques ad-hominem constantes depuis que tu m'as catalogué comme fanboy pour je ne sais quelle raison
J'avais lancé un fil http://forum.macbidouille.com/index.php?showtopic=397120 et sans publicité particulière sur le sujet de l'archivage.
J'ai d'ailleurs largement échoué a remplir les objectifs que je m'était fixés car je suis pas aussi doué que j'aimerais et j'essaye de me soigner.
Tu juge peut-être ça débile, mais je suis attaché à ce que j'ai pu écrire sur MB depuis plus de 10 ans.
Cela étant dis j'ai parfaitement conscience que c'est un travail ingrat, long et qui sera réalisé bénévolement.
Et c'est pour ça que ça m’horripile d'autant plus quand je lis que "c'est inutile" là ou l'EFF et d'autres ont des dossiers techniques bien remplis pour prouver le contraire.
Bon courage à tous dans cette aventure
Écrit par : flan 13 Oct 2018, 09:02
Deux raisons :
- tes identifiants passent en clair et peuvent donc être interceptés et, si tu utilises les mêmes sur d'autres sites, ils peuvent être réutilisés ;
- le trafic peut être modifié à la volée sans que tu le saches, tu peux donc en allant consulter macbidouille normalement recevoir une page qui est modifiée à la volée et qui contient un piège (un code javascript qui exploite une faille).
Écrit par : Titoomax 15 Oct 2018, 15:35
Ceci est ma dernière contribution sur
J'espère pour tout le monde que le https soit généralisé.
Bien cordialement et désolé car je quitte à cause de ça MacBidouille qui reste en http.
Longue vie à vous néanmoins.
Mon avant dernière contribution est à l'attention du Groupe : Admin
Faites-en ce que vous voulez.
Écrit par : Jérôme74 19 Oct 2018, 08:40
Hélas, oui. De nombreuses personnes utilisant le même couple identifiant / mot de passe sur de nombreux sites (gmail, facebook, linkedin, sites de rencontres, et toutes sortes de sites douteux), laisser circuler ces informations en clair sur MacBidouille peut avoir de vraiment terribles conséquences pour certains utilisateurs, en les exposant à l'usurpation d'identité et au chantage!
Écrit par : Tom25 19 Oct 2018, 12:43
Oh la vache que ce genre de commentaires me hérissent le poil ! Les personnes qui s'inscrivent ici le font pour participer, alors j'aurais beaucoup de mal à admettre qu'ils ne soient jamais tombé sur des conseils en sécurité. J'utilise parfois les même pseudo/motdepasse mais uniquement sur des forums. Sur les sites plus importants je change. Accusé des bénévoles de vous "mettre en danger" parce qu'ils ne travaillent pas assez pour vous sécuriser, c'est un comble.
A la place de Lionel, je mettrais un topic en post-it en rouge expliquant que le mot de passe de connexion transite en clair, les grincheux ne pourront pas dire qu'ls ne sont pas prévenu.
Que vous mettiez au courant les gens des risques des sites http en leur expliquant la différence avec https est une très bonne chose, le site macBidouille est parfait pour ça. Mais que vous les attaquiez pour ces raisons me fou en rogne.
Le site a perdu un membre (Titoomax), ça nous a gâché notre week-end et les admins ne vont pas en dormir pendant au moins 6 nuits.
Je n'ai aucune idée du boulot que cela représente de passer de http à https , et je n'ai pas compris pourquoi c'était su grave sur un site comme celui-ci. Mais je suppose que si ça l'était tant que ça, vous auriez déjà loué un hélicoptère pour venir sur les serveurs MB et régler ça au plus vite.
Je développe des donationwares et je reçoie parfois le même genre de remarque, des mecs utilisent gratuitement pendant des années un produit que vous leur mettez à disposition, et un beau jour vous chient dessus parce que vous n'avez pas la fonction qu'ils veulent. Putain mais allez vous faire f… !
Écrit par : Lilac Wine 19 Oct 2018, 13:36
Mais qui crée le contenu ici, à part les membres eux-mêmes ?
Même des forums de tricot sont en https…
Écrit par : yponomeute 19 Oct 2018, 14:50
Il y aurait même eu des "nervous breakdown" comme on dit de nos jours
Écrit par : Tom25 19 Oct 2018, 14:59
Même des forums de tricot sont en https…
Je ne sais pas, je ne tricote pas
. Et j'avoue ne pas faire gaffe au fait qu'un site soit https ou non quand je ne fais que le consulter ou qu'il s'agit d'un forum. J'y fais par contre beaucoup plus attention dès qu'il s'agit de trucs plus importants (achats, abonnements, etc.).Non mais la demande est légitime, c'est qu'on mette la pression aux admins sur ce point qui m'énerve. De quel droit certains se le permettent ? Effectivement on peut arguer du fait qu'on crée du contenu, mais nous aussi on le fait bénévolement.
Écrit par : _Panta 19 Oct 2018, 17:57
Ah, quand les Macbidouilleurs parlent technique et sécurité, c'est toujours un grand moment de naïveté 
Écrit par : SartMatt 19 Oct 2018, 21:59
Mais tu verras sans doute jamais de tels certificats sur un site communautaire. Parce qu'ils coûtent un bras. D'ailleurs, même certains très gros sites en HTTPS n'ont pas un certificat EV (par exemple, à peu près tous les sites de gros médias français, de nombreux sites d'e-commerce, y compris Amazon... et même Google).
Pire, il suffit qu'un malware installe sur ton appareil un certificat racine dont l'auteur du malware a les clés, et il pourra alors trafiquer absolument TOUT ton trafic HTTPS sans que tu te rends compte de rien. Et sans même parler de malware, on retrouve souvent ça sur les postes de grosses boîtes, pour que le proxy puisse aussi filtrer le trafic HTTPS. Un certificat racine installé sur les postes de la boîte, et hop, le proxy se comporte comme un attaquant "man in the middle" : le traffic HTTPS est chiffré avec les certificats des serveurs cibles entre le proxy et les serveurs, et avec les certificats du proxy entre les postes de la boîte et le proxy.
Bref, le HTTPS est clairement un plus. Mais ce n'est pas non plus une garantie, loin de là.
Et le plus gros problème sans le HTTPS reste l'envoi en clair des mots de passe, comme tu le disais dans ton premier point. Les autres risques sont quand même relativement faibles.
Écrit par : flan 19 Oct 2018, 22:18
Mais tu verras sans doute jamais de tels certificats sur un site communautaire. Parce qu'ils coûtent un bras. D'ailleurs, même certains très gros sites en HTTPS n'ont pas un certificat EV (par exemple, à peu près tous les sites de gros médias français, de nombreux sites d'e-commerce, y compris Amazon... et même Google). Sans compter qu'il faut l'avoir dès le début sinon ça risque de ne pas fonctionner si le site a activé le HPKP qui empêche ce genre de changement de certificat.
Pire, il suffit qu'un malware installe sur ton appareil un certificat racine dont l'auteur du malware a les clés, et il pourra alors trafiquer absolument TOUT ton trafic HTTPS sans que tu te rends compte de rien. Et sans même parler de malware, on retrouve souvent ça sur les postes de grosses boîtes, pour que le proxy puisse aussi filtrer le trafic HTTPS. Un certificat racine installé sur les postes de la boîte, et hop, le proxy se comporte comme un attaquant "man in the middle" : le traffic HTTPS est chiffré avec les certificats des serveurs cibles entre le proxy et les serveurs, et avec les certificats du proxy entre les postes de la boîte et le proxy.
Bref, le HTTPS est clairement un plus. Mais ce n'est pas non plus une garantie, loin de là.
Et le plus gros problème sans le HTTPS reste l'envoi en clair des mots de passe, comme tu le disais dans ton premier point. Les autres risques sont quand même relativement faibles.
Mais en pratique, devoir récupérer un certificat légitime pour un site tierce-partie complique nettement les choses, même si comme tu dis c'est théoriquement possible.
Bien sûr, un malware peut ajouter une AC racine et après te diriger vers une contrefaçon de MB pour usurper tes identifiants (mais je pense qu'il pourrait probablement usurper les identifiants directement, sans passer par une contrefaçon de site, sauf peut-être faille spécifique qui ne permettrait que d'injecter une AC racine). Quant à la dernière hypothèse… si l'entreprise fait du vol d'identifiant sur ses employés, il y a des questions à se poser
En revanche, ça peut faire sauter la vérification du certificat par le proxy (soit le proxy vérifie toujours, soit il ne vérifie jamais, mais il n'y a plus moyen de donner le choix à l'utilisateur).
Écrit par : Tina 125 20 Oct 2018, 12:22
Bonjour,
J'avoue que, fraîchement inscrite, voir le petit avertissement dans la barre de menus : ⓘ "Connexion non sécurisée" m'a un peu tiré l'oeil.
Mais je suis bien contente d'avoir trouvé ce topic, ça me donne des infos que je n'avais pas... (que je n'aurais pas eues si j'avais lancé comme nouvelle discute "Pourquoi la connexion n'est pas en https ?").
Cela dit, j'ai Badger et uBlock Origin d'installés... Le premier ne moufte pas, et le second m'annonce juste 2 requêtes bloquées (paramètres lambda).
J'ai déjà vu sur d'autres sites de quoi battre des records de fuite. 
Écrit par : mazelle jeanne 20 Oct 2018, 18:31
Hélas, oui. De nombreuses personnes utilisant le même couple identifiant / mot de passe sur de nombreux sites (gmail, facebook, linkedin, sites de rencontres, et toutes sortes de sites douteux), laisser circuler ces informations en clair sur MacBidouille peut avoir de vraiment terribles conséquences pour certains utilisateurs, en les exposant à l'usurpation d'identité et au chantage!
Si ces personnes sont inscrites sur MacBidouille, je ne doute pas qu'elles aient lu et relu les mises en garde et les conseils sur la gestion des mots de passe et donc si elles n'en tiennent pas compte le passage en https ne les aidera pas à s'acheter un cerveau.
Écrit par : Jérôme74 22 Oct 2018, 09:54
On se calme, j'apprécie MacBidouille pour ce qu'il est, un site non commercial, avec les avantages et les inconvénients qui en découlent, et j'ai le plus grand respect pour l'investissement de tous les membres de l'équipe dedans. Simplement, nier qu'il y a un réel problème à ne pas utiliser HTTPS pour la saisie du mot de passe, alors même qu'on relaie des tas d'affaires de piratage de masse, je trouve ça un peut léger.
Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)