IL SEMBLE QUE VOUS UTILISEZ ADBLOC POUR BLOQUER LA PUBLICITÉ, AUCUNE PUB INTRUSIVE SUR FDZ ET PAS DE POPUP
FDZ EST GRATUIT DONC MERCI DE DÉSACTIVER VOTRE ADBLOCK ET DE BIEN VOULOIR PARTICIPER ET JOUER LE JEU


PAR SUITE D'ABUS LES SERVEURS CCCAM ET ABONNEMENT NE SONT PAS TOLÉRÉS SUR LE FORUM

Affichage des résultats 1 à 10 sur 10
Share |

Discussion: forum en https

  1. #1
    Date d'inscription
    février 2008
    Localisation
    Alger
    Messages
    471
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut forum en https

    D'abord, je n'ai aucune expérience avec les plateformes de forum...

    Concerné par le fait que mes identifiants de connexion au forum "voyagent" en clair, je voudrais savoir s'il n'est possible d'implementer la possibilité d'une authentification https ?

  2. #2
    Avatar de Samir_dz
    Samir_dz est déconnecté Fondateur / Administrateur [Staff ForumDZ]
    Date d'inscription
    janvier 2008
    Messages
    1 985
    Remerciements
    84
    Remercié 104 fois dans 54 messages
    Pouvoir de réputation
    10

    Par défaut

    PAS a ma connaissance plutôt pas encore implémenté sur Vbulletin et ni d'ailleurs sur la plupart des forums

  3. #3
    Date d'inscription
    janvier 2008
    Localisation
    Ain Taya
    Messages
    583
    Remerciements
    1
    Remercié 6 fois dans 6 messages
    Pouvoir de réputation
    10

    Par défaut

    euh

    je crois que si, nomalement c possible d'utiliser vbulletin en HTTPS ( en fin j'ai deja vu un forum qui utilise ca )

  4. #4
    Avatar de Samir_dz
    Samir_dz est déconnecté Fondateur / Administrateur [Staff ForumDZ]
    Date d'inscription
    janvier 2008
    Messages
    1 985
    Remerciements
    84
    Remercié 104 fois dans 54 messages
    Pouvoir de réputation
    10

    Par défaut

    Mise a part un certificat SSL je ne vois pas comment le faire, il y a aussi un htacess ce qui pénalisera tous le monde avec saisi id et mdp.

    En tous cas c'est dans le pipe ! Cliquer ici pour agrandir

  5. #5
    Date d'inscription
    août 2008
    Messages
    112
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut

    <lecture rapide, réponse rapide >

    je trouve que c'est en effet une bonne idée ( je suis partisant à mettre du rsa un peu partout sur tout le trajet des packets d'ailleurs )

    si j'ai bien compris ce que vous proposez , implémenter du https n'est pas tributaire d'un quelconque changement au niveau de l'application web en question (vbmachin dans ce cas).

    ce qu'il faudrait peut etre, c'est d'activer https sur apache ( j imagine que c'est le serveur qui se charge de "cracher" ces pages, si c'est un autre serveur web, c'est pareil, la config change, le standard est le meme), et d'ensuite mettre une rewrite condition sur la page login.php , de telle sorte a rediriger la page login.php vers https://(...)/login.php

    quelque chose de plus "visionnaire" ( et je met entre guillemets car je crois voir vu ça déja implémenté ) c'est de mettre un ptit bout d'ajax ( ou du classique js ) dans la page de login.php de telle sorte à ce que les données postées soient échangées en rsa , et toujours en http (time consuming for both client and server since the big number computations mais bon, la parano a ses tarifs, ceci dit, c'est pas non plus affreusement pénalisant)

    je crois que la solution la moins obstrusive serait d'implémenter le https, conditionnel, et au choix de l'utilisateur ( un joli lien sur la page de login avec 'connection sécurisée' à la yahoo peut etre ?)

    mettre un certificat auto signé reste toujours un peu moche, et un certificat signé reste toujours payant, il faudra voir. ( imho : du js, du rsa; c'est transparent, c'est puissant, c'est crypté, cé tout joli, cé "gratuit", cé classe)

    tres bon probleme qui est posé ici : comment établir une confiance sans tiers de confiance ? ^^

    voila voila

    bonne continuation

    ps: rappel rapide, le ssl n'est q'une couche qui s'ajoute au http
    http://fr.wikipedia.org/wiki/Transport_Layer_Security

    ps2: rsa
    http://fr.wikipedia.org/wiki/Rivest_Shamir_Adleman

  6. #6
    Date d'inscription
    février 2008
    Localisation
    Béjaïa
    Messages
    2 713
    Remerciements
    0
    Remercié 2 fois dans 2 messages
    Pouvoir de réputation
    15

    Par défaut

    Salut tout le monde,

    Voilà, tu a tout résumé Tewfik. Baraka allahou fik. Je pense que si un jour on doit mettre un accès HTTPS pour ForumDZ, il nous faudra un certificat signé par une autorité parceque les certifs perso c'est bien mais ça peut pénaliser le forum surtout les nouveaux membres qui ne comprennent rien aux certificats et aux sites sécurisés.

    En plus, un certificat dans le cas actuel ça ne vaut pas la peine car c'est une dépense de plus qu'autre chose. Je ne sais même pas d'ailleurs si la publicité sur ForumDZ couvre les frais d'hébergement ou pas ! Donc tu imagines rajouter 50€ ou 60 €/an rien que pour le SSL ?

    Pour le SSL chez ovh ça se passe ici :

    http://www.ovh.com/fr/particulier/pr...l_commande.xml

    Maintenant, la mise en oeuvre et l'activation du HTTPS sur le port 443 est très simple, il suffit de modifier le fichier de configuration d'Apache et d'activer un listen sur ce port en question (mais le certif sera perso et non signé : donc il y aura un risque de rejet de la part des utilisateurs)

    Ce n'est que mon avis et puis il ne faut pas pousser l'hallucination à son extrême les gars.

    Ya Tewfik, il m'arrive parfois de halluciner des choses en matière d'administration serveurs au point où sur "knockd" je pousse dans la perversion jusqu'à spécifier des ports en tcp ou en udp : histoire de te dire que parfois, c'est bien de faire des choses simples car trop de sécurité rend un service inutilisable voir infréquentable.

    Je comprends bien les avantages d'un certif SSL mais je ne pense pas que ça soit necessaire dans le cas actuel des forums sous Vbulletin Cliquer ici pour agrandir

    Maintenant, ce n'est pas moi qui décide Cliquer ici pour agrandir



  7. #7
    Date d'inscription
    janvier 2008
    Messages
    1 779
    Remerciements
    2
    Remercié 23 fois dans 9 messages
    Pouvoir de réputation
    11

    Par défaut

    Cliquer ici pour agrandir Envoyé par SecDz Cliquer ici pour agrandir
    Concerné par le fait que mes identifiants de connexion au forum "voyagent" en clair, je voudrais savoir s'il n'est possible d'implémenter la possibilité d'une authentification https ?
    Mais non mais non tes identifiants ne voyagent pas en claire sur notre fofo ils sont d'abord cryptes en md5 avec du java script (voici le js) ce script est appelé lors de la connexion par le form d'authentifcation
    Code:
    <form action="http://www.forumdz.com/login.php?do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5password, vb_login_md5password_utf, 0)">
    Le hshage se fait deux ou trois fois en plus d'un salt avec une fonction du genre
    Code:
    md5(md5(password.salt))
    ce qui rend, même si on sniff tes paquetts, impossible de reverser ce genre de hashage aujourd'hui. ton mot de passe est sécurisé...

    Cliquer ici pour agrandir Envoyé par ButterflyOfFire Cliquer ici pour agrandir
    Je comprends bien les avantages d'un certif SSL mais je ne pense pas que ça soit nécessaire dans le cas actuel des forums sous Vbulletin Cliquer ici pour agrandir
    Effectivement ButterflyOfFire, on n'a pas besoin de sécuriser aveuglement, le forum est public as t-on vraiment besoin de tout crypter ? Moi le cryptage md5x2(ou 3) + salt du mot de passe me suffit largement pour m'assurer que mon compte ne soit pas détourné.

    Reste la partie privée, information personnelles, message privée, j'évite de divulguer des info sur cette partie, et des que ça devient sérieux je passe au mails ;-) ... Attention a part le mot de passe qui est hashe tout le reste est en claire

    Cliquer ici pour agrandir Envoyé par tewfik Cliquer ici pour agrandir
    si j'ai bien compris ce que vous proposez , implémenter du https n'est pas tributaire d'un quelconque changement au niveau de l'application web en question (vbmachin dans ce cas).
    Merci tewfik pour le tuto et pour les informations précieuses, jusqu'a aujourd'hui je pensais qu'il fallait, qu'en plus de l'activation du https sur Apache, que l'application prennent le https en charge. C'est plus facile a implémenter comme ça
    .
    Dernière modification par assilabox ; 06/11/2008 à 09h04.

  8. #8
    Date d'inscription
    février 2008
    Localisation
    Alger
    Messages
    471
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut clarification et proposition

    Comme c'est moi qui a lancé le thread, je voudrais préciser pourquoi ce souci pour moi.
    En fait, souvent j'accède d'endroits publiques (généralement cybers) et je veux éviter un risque, certes minime mais important pour moi, c'est d'avoir affaire à des petits curieux qui peuvent utiliser mes identifiants pour poster en mon nom par exemple. Sans parler de le "éventualité" (que tewfik a surement en tête) du flicage par analyse du traffic basé sur les identifiants....on peut faire pleins de trucs.
    Une solution acceptable à mon avis, serait, comme l'a proposé tewfik, une option de "connexion sécurisée" avec un certificat autosigné (c'est mal mais bon), ça ne va pas embêter le simple utilisateur....celui qui veut une connexions sécurisée doit savoir ce qu'il fait.

    PS : je ne suis pas parano...je suis prudent et vigilant...du moins j'essaye !

    PS : je viens de voir le post de assilabox juste avant le mien, je vais voir
    Dernière modification par SecDz ; 06/11/2008 à 08h45.

  9. #9
    Date d'inscription
    février 2008
    Localisation
    Alger
    Messages
    471
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut

    Cliquer ici pour agrandir Envoyé par assilabox Cliquer ici pour agrandir
    Mais non mais non tes identifiants ne voyagent pas en claire sur notre fofo ils sont d'abord cryptes en md5 avec du java script
    ...................
    Le hshage se fait deux ou trois fois en plus d'un salt avec une fonction du genre
    Code:
    md5(md5(password.salt))
    ce qui rend, même si on sniff tes paquetts, impossible de reverser ce genre de hashage aujourd'hui. ton mot de passe est sécurisé...
    Désolé je ne le savais pas...c'est vrai, pour le mot de passe c'est plus difficile de l'avoir. Petite remarque, ce n'est pas chiffré, c'est hashé (http://fr.wikipedia.org/wiki/MD5).

    Mais ce n'est pas aussi sécurisé qu'une authentification https....je met en gras parce que je parle de l'authenfication uniquement pas tout l'échange, comme tu le dit, c'est un forum publique.

  10. #10
    Date d'inscription
    août 2008
    Messages
    112
    Remerciements
    0
    Remercié 0 fois dans 0 messages
    Pouvoir de réputation
    10

    Par défaut

    Bonsoir,

    Petite précision , lorsque je dis "parano", je ne vise pas un point négatif. Je pense qu'en temps de crises, la parano est une attitude saine.

    Le md5, c'est bien. ça hash, les curieux n'auront donc pas la version en clair du mot de passe. Deux points cependant :

    - et les cookies ? (apres tout si on admet que le traffic est compromis, c'est aussi le cas pour tout le reste, pas uniquement le pass)

    - et le fait que md5 ait été factorisé ? [1] le salt rajoute du zest à l'opération, certes. Le md5 n'est plus digne de confiance. Hasher deux fois me parait superflu, je n'ai par contre pas d'arguments à présenter pour démontrer la non efficacité.

    Je veux dire par là, qu'il ne faut pas être non plus ébloui par un faux sentiment de sécurité, mais d'évaluer au mieux la situation.

    Personellement, je pense que la ""révolution"" passe par du zero information leak. Si on assimile notre sécurité informatique à une boite, on doit faire en sorte qu'aucune fuite n'y échape.

    Le zero information leak , c'est de ne donner aucune chance à votre ""ennemi"" de récolter/intercepter la moindre information.

    Le cryptage tous azimut est un très bon début de zero information leak. Si l'ensemble de votre traffic est crypté (ou la majorité de celui ci), l'entropie [2] des données qui proviennent de/vers votre "boite" est assez elevée. Une entropie elevée signifie que l'information est presque assimilable à du bruit. Faibles correlations. Votre ""ennemi"" ne pourrait donc extraire d'informations, ni sur vos habitudes, ni sur le contenu qui transite.

    Cela peut sembler anodin, et l'on peut se poser la question sur le pourquoi de l'opération. Ce n'est pas si évident.



    ButterflyOfFire dit :

    Ce n'est que mon avis et puis il ne faut pas pousser l'hallucination à son extrême les gars.
    Le forum est publique, en effet. Mettre du https, ça ne signifie pas que le contenu deviendrait privé. Uniquement que le lien entre l'utilisateur et le serveur soit crypté.

    Je comprends bien que les personnes gérant ce forum préferent rester dans le domaine des NTIC afin d'éviter le politiquement incorrect, ou le politiquement tout court. Malheureusement, le risque est tout à fait palpable même dans ce domaine là (nouvelles technologies). Cruement; soit on réagit, soit on se fait bouffer.

    Notre réaction (éventuelle, ça pourrait venir maintenant, ou on pourrait encore attendre 10 ou 15 ans) devrait être scientifique et méthodique. On pose un cahier des charges , on se fixe des objectifs, et on doit avoir aussi le moyen d'évaluer l'efficacité de la méthode (feedback). Sans panique. Froidement.


    il nous faudra un certificat signé par une autorité parceque les certifs perso c'est bien mais ça peut pénaliser le forum surtout les nouveaux membres qui ne comprennent rien aux certificats et aux sites sécurisés
    On peut toujours mettre un https au choix, avec un acces http par défaut. Les membres ne connaissant ou ne souhaitant pas bénéficier de ce service ne se douterais pas du changement.

    Le problème est que, avec un certificat auto signé, il n'y a pas de garantie de confiance. C'est pas méchant, mais il faut être conscient que la confiance devrait être une notion distribuée, et dans ce cas elle centralisée. (autorité de certification, tiers de confiance) [3] Si le certificat est auto signé, comment feriez-vous la différence entre une liaison directe, et une liaison détournée [4] ? ( réponse courte : rajouter le certificat du serveur à la liste des certificats de confiance.)



    c'est bien de faire des choses simples car trop de sécurité rend un service inutilisable voir infréquentable.
    Tout à fait d'accord. Prenons le problème différement : Je souhaite que mon traffic ne soit compromis d'aucune manière, comment procederais-je afin que l'infrastructure ne pose aucune gene à ces utilisateurs ? C'est de l'engineering, ce n'est pas facile, mais c'est honette comme process.

    Nous devons à tout prix apprendre à poser _nos_ cahiers des charges.
    L'autonomie de notre pensée est le début de leur fin.

    Sur ce ,
    Portez-vous bien.


    [1] MD5 collisions

    http://www.schneier.com/blog/archive...d5_collis.html

    [2] Entropie de Shannon

    http://fr.wikipedia.org/wiki/Entropie_de_Shannon

    [3] Public Key Infrastructure

    http://fr.wikipedia.org/wiki/Infrast...clés_publiques

    [4] Ptit tutorial sur le detournement du ssl avec cain

    http://www.oxid.it/ca_um/topics/apr-https.htm

Discussions similaires

  1. Google passe definitivement en HTTPS
    Par assilabox dans le forum Sécurité Informatique
    Réponses: 0
    Dernier message: 19/10/2011, 00h09
  2. [Suggestion] Forum ou sous/forum paiement electronique
    Par Vel dans le forum La vie du forum
    Réponses: 4
    Dernier message: 12/07/2011, 22h18
  3. Forum sure?
    Par chahbandar dans le forum Sécurité Informatique
    Réponses: 5
    Dernier message: 17/06/2008, 22h34

Les tags pour cette discussion

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •  
[Auto utilitaire DZ] [Webimag] [Algérie Info] [Guide Algérie] [Mosquée ALBADR MEAUX] [Photographe MARIAGE]

is PageRank Checking Icon