forum en https

D'abord, je n'ai aucune expérience avec les plateformes de forum...

Concerné par le fait que mes identifiants de connexion au forum "voyagent" en clair, je voudrais savoir s'il n'est possible d'implementer la possibilité d'une authentification https ?

euh

je crois que si, nomalement c possible d'utiliser vbulletin en HTTPS ( en fin j'ai deja vu un forum qui utilise ca )

je trouve que c'est en effet une bonne idée ( je suis partisant à mettre du rsa un peu partout sur tout le trajet des packets d'ailleurs )

si j'ai bien compris ce que vous proposez , implémenter du https n'est pas tributaire d'un quelconque changement au niveau de l'application web en question (vbmachin dans ce cas).

ce qu'il faudrait peut etre, c'est d'activer https sur apache ( j imagine que c'est le serveur qui se charge de "cracher" ces pages, si c'est un autre serveur web, c'est pareil, la config change, le standard est le meme), et d'ensuite mettre une rewrite condition sur la page login.php , de telle sorte a rediriger la page login.php vers https://(...)/login.php

quelque chose de plus "visionnaire" ( et je met entre guillemets car je crois voir vu ça déja implémenté ) c'est de mettre un ptit bout d'ajax ( ou du classique js ) dans la page de login.php de telle sorte à ce que les données postées soient échangées en rsa , et toujours en http (time consuming for both client and server since the big number computations mais bon, la parano a ses tarifs, ceci dit, c'est pas non plus affreusement pénalisant)

je crois que la solution la moins obstrusive serait d'implémenter le https, conditionnel, et au choix de l'utilisateur ( un joli lien sur la page de login avec 'connection sécurisée' à la yahoo peut etre ?)

mettre un certificat auto signé reste toujours un peu moche, et un certificat signé reste toujours payant, il faudra voir. ( imho : du js, du rsa; c'est transparent, c'est puissant, c'est crypté, cé tout joli, cé "gratuit", cé classe)

tres bon probleme qui est posé ici : comment établir une confiance sans tiers de confiance ? ^^

voila voila

bonne continuation

ps: rappel rapide, le ssl n'est q'une couche qui s'ajoute au http

http://fr.wikipedia.org/wiki/Transport_Layer_Security

ps2: rsa

http://fr.wikipedia.org/wiki/Rivest_Shamir_Adleman

Salut tout le monde,

Voilà, tu a tout résumé Tewfik. Baraka allahou fik. Je pense que si un jour on doit mettre un accès HTTPS pour ForumDZ, il nous faudra un certificat signé par une autorité parceque les certifs perso c'est bien mais ça peut pénaliser le forum surtout les nouveaux membres qui ne comprennent rien aux certificats et aux sites sécurisés.

En plus, un certificat dans le cas actuel ça ne vaut pas la peine car c'est une dépense de plus qu'autre chose. Je ne sais même pas d'ailleurs si la publicité sur ForumDZ couvre les frais d'hébergement ou pas ! Donc tu imagines rajouter 50€ ou 60 €/an rien que pour le SSL ?

Pour le SSL chez ovh ça se passe ici :

http://www.ovh.com/fr/particulier/produits/ssl_commande.xml

Maintenant, la mise en oeuvre et l'activation du HTTPS sur le port 443 est très simple, il suffit de modifier le fichier de configuration d'Apache et d'activer un listen sur ce port en question (mais le certif sera perso et non signé : donc il y aura un risque de rejet de la part des utilisateurs)

Ce n'est que mon avis et puis il ne faut pas pousser l'hallucination à son extrême les gars.

Ya Tewfik, il m'arrive parfois de halluciner des choses en matière d'administration serveurs au point où sur "knockd" je pousse dans la perversion jusqu'à spécifier des ports en tcp ou en udp : histoire de te dire que parfois, c'est bien de faire des choses simples car trop de sécurité rend un service inutilisable voir infréquentable.

Je comprends bien les avantages d'un certif SSL mais je ne pense pas que ça soit necessaire dans le cas actuel des forums sous Vbulletin

Maintenant, ce n'est pas moi qui décide

Concerné par le fait que mes identifiants de connexion au forum "voyagent" en clair, je voudrais savoir s'il n'est possible d'implémenter la possibilité d'une authentification https ?

Mais non mais non tes identifiants ne voyagent pas en claire sur notre fofo ils sont d'abord cryptes en md5 avec du java script (voici le js) ce script est appelé lors de la connexion par le form d'authentifcation

</pre>
<form action="%7B___base_url___%7D/login.php?do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5password, vb_login_md5password_utf, 0)"><

Le hshage se fait deux ou trois fois en plus d'un salt avec une fonction du genre

md5(md5(password.salt))

ce qui rend, même si on sniff tes paquetts, impossible de reverser ce genre de hashage aujourd'hui. ton mot de passe est sécurisé...

Je comprends bien les avantages d'un certif SSL mais je ne pense pas que ça soit nécessaire dans le cas actuel des forums sous Vbulletin

Effectivement ButterflyOfFire, on n'a pas besoin de sécuriser aveuglement, le forum est public as t-on vraiment besoin de tout crypter ? Moi le cryptage md5x2(ou 3) + salt du mot de passe me suffit largement pour m'assurer que mon compte ne soit pas détourné.

Reste la partie privée, information personnelles, message privée, j'évite de divulguer des info sur cette partie, et des que ça devient sérieux je passe au mails ;-) ... Attention a part le mot de passe qui est hashe tout le reste est en claire

si j'ai bien compris ce que vous proposez , implémenter du https n'est pas tributaire d'un quelconque changement au niveau de l'application web en question (vbmachin dans ce cas).

Merci tewfik pour le tuto et pour les informations précieuses, jusqu'a aujourd'hui je pensais qu'il fallait, qu'en plus de l'activation du https sur Apache, que l'application prennent le https en charge. C'est plus facile a implémenter comme ça

.

Comme c'est moi qui a lancé le thread, je voudrais préciser pourquoi ce souci pour moi.

En fait, souvent j'accède d'endroits publiques (généralement cybers) et je veux éviter un risque, certes minime mais important pour moi, c'est d'avoir affaire à des petits curieux qui peuvent utiliser mes identifiants pour poster en mon nom par exemple. Sans parler de le "éventualité" (que tewfik a surement en tête) du flicage par analyse du traffic basé sur les identifiants....on peut faire pleins de trucs.

Une solution acceptable à mon avis, serait, comme l'a proposé tewfik, une option de "connexion sécurisée" avec un certificat autosigné (c'est mal mais bon), ça ne va pas embêter le simple utilisateur....celui qui veut une connexions sécurisée doit savoir ce qu'il fait.

PS : je ne suis pas parano...je suis prudent et vigilant...du moins j'essaye !

PS : je viens de voir le post de assilabox juste avant le mien, je vais voir

Mais non mais non tes identifiants ne voyagent pas en claire sur notre fofo ils sont d'abord cryptes en md5 avec du java script

...................

Le hshage se fait deux ou trois fois en plus d'un salt avec une fonction du genre

md5(md5(password.salt))

ce qui rend, même si on sniff tes paquetts, impossible de reverser ce genre de hashage aujourd'hui. ton mot de passe est sécurisé...

Désolé je ne le savais pas...c'est vrai, pour le mot de passe c'est plus difficile de l'avoir. Petite remarque, ce n'est pas chiffré, c'est hashé (http://fr.wikipedia.org/wiki/MD5).

Mais ce n'est pas aussi sécurisé qu'une authentification https....je met en gras parce que je parle de l'authenfication uniquement pas tout l'échange, comme tu le dit, c'est un forum publique.

Bonsoir,

Petite précision , lorsque je dis "parano", je ne vise pas un point négatif. Je pense qu'en temps de crises, la parano est une attitude saine.

Le md5, c'est bien. ça hash, les curieux n'auront donc pas la version en clair du mot de passe. Deux points cependant :

- et les cookies ? (apres tout si on admet que le traffic est compromis, c'est aussi le cas pour tout le reste, pas uniquement le pass)

- et le fait que md5 ait été factorisé ? [1] le salt rajoute du zest à l'opération, certes. Le md5 n'est plus digne de confiance. Hasher deux fois me parait superflu, je n'ai par contre pas d'arguments à présenter pour démontrer la non efficacité.

Je veux dire par là, qu'il ne faut pas être non plus ébloui par un faux sentiment de sécurité, mais d'évaluer au mieux la situation.

Personellement, je pense que la ""révolution"" passe par du zero information leak. Si on assimile notre sécurité informatique à une boite, on doit faire en sorte qu'aucune fuite n'y échape.

Le zero information leak , c'est de ne donner aucune chance à votre ""ennemi"" de récolter/intercepter la moindre information.

Le cryptage tous azimut est un très bon début de zero information leak. Si l'ensemble de votre traffic est crypté (ou la majorité de celui ci), l'entropie [2] des données qui proviennent de/vers votre "boite" est assez elevée. Une entropie elevée signifie que l'information est presque assimilable à du bruit. Faibles correlations. Votre ""ennemi"" ne pourrait donc extraire d'informations, ni sur vos habitudes, ni sur le contenu qui transite.

Cela peut sembler anodin, et l'on peut se poser la question sur le pourquoi de l'opération. Ce n'est pas si évident.

 

ButterflyOfFire dit :

 

Ce n'est que mon avis et puis il ne faut pas pousser l'hallucination à son extrême les gars.

 

Le forum est publique, en effet. Mettre du https, ça ne signifie pas que le contenu deviendrait privé. Uniquement que le lien entre l'utilisateur et le serveur soit crypté.

Je comprends bien que les personnes gérant ce forum préferent rester dans le domaine des NTIC afin d'éviter le politiquement incorrect, ou le politiquement tout court. Malheureusement, le risque est tout à fait palpable même dans ce domaine là (nouvelles technologies). Cruement; soit on réagit, soit on se fait bouffer.

Notre réaction (éventuelle, ça pourrait venir maintenant, ou on pourrait encore attendre 10 ou 15 ans) devrait être scientifique et méthodique. On pose un cahier des charges , on se fixe des objectifs, et on doit avoir aussi le moyen d'évaluer l'efficacité de la méthode (feedback). Sans panique. Froidement.

 

il nous faudra un certificat signé par une autorité parceque les certifs perso c'est bien mais ça peut pénaliser le forum surtout les nouveaux membres qui ne comprennent rien aux certificats et aux sites sécurisés

 

On peut toujours mettre un https au choix, avec un acces http par défaut. Les membres ne connaissant ou ne souhaitant pas bénéficier de ce service ne se douterais pas du changement.

Le problème est que, avec un certificat auto signé, il n'y a pas de garantie de confiance. C'est pas méchant, mais il faut être conscient que la confiance devrait être une notion distribuée, et dans ce cas elle centralisée. (autorité de certification, tiers de confiance) [3] Si le certificat est auto signé, comment feriez-vous la différence entre une liaison directe, et une liaison détournée [4] ? ( réponse courte : rajouter le certificat du serveur à la liste des certificats de confiance.)

 

c'est bien de faire des choses simples car trop de sécurité rend un service inutilisable voir infréquentable.

 

Tout à fait d'accord. Prenons le problème différement : Je souhaite que mon traffic ne soit compromis d'aucune manière, comment procederais-je afin que l'infrastructure ne pose aucune gene à ces utilisateurs ? C'est de l'engineering, ce n'est pas facile, mais c'est honette comme process.

Nous devons à tout prix apprendre à poser _nos_ cahiers des charges.

L'autonomie de notre pensée est le début de leur fin.

Sur ce ,

Portez-vous bien.

[1] MD5 collisions

http://www.schneier.com/blog/archives/2005/06/more_md5_collis.html

[2] Entropie de Shannon

http://fr.wikipedia.org/wiki/Entropie_de_Shannon

[3] Public Key Infrastructure

http://fr.wikipedia.org/wiki/Infrastructure_à_clés_publiques

[4] Ptit tutorial sur le detournement du ssl avec cain

http://www.oxid.it/ca_um/topics/apr-https.htm