#1
douardda En ligne le 14/11/2015 à 22:23 (3 messages sur soudeurs.com)

Sujet : Accès au site en https

01/03/2015 22:49:52

Bonjour,

je pratique ce site (en tant que lecteur essentiellement) depuis pas mal de temps mais de manière assez aléatoire.
En y revenant ce soir, je m'aperçois que le site propose toujours de s'enregistrer et ensuite de s'authentifier en http simple, sans chiffrement des communications.

En 2015, il est inadmissible (je pèse mes mots) de ne pas chiffrer les connections authentifiées à un site, quel qu'il soit.

Est-il prévu de mettre en place un certificat pour le site ? Il est maintenant possible d'obtenir de tels certificats gratuitement auprès fournisseurs reconnus par l'ensemble des navigateurs et des systèmes récents, il n'y a donc aucune raison de ne pas le faire.

Désolé de ce message à l'allure d'un "coup de gueule", mais c'est un problème important.

David

#2
Invité
01/03/2015 23:30:46

Bonsoir

Cela pour ma part ne me pose aucun problème ; à part vous plaindre qu'apportez vous à la communauté et au site soudeurs.com ? Avec 2 messages au compteur je trouve cela fort de café.

Ce site n'est pas une banque , il n'y a pas lieu de crypter les données , tous les forums que je fréquente fonctionnent ainsi en HTTP simple ...



Cordialement

Mathieu

#3
Dominique ADMIN En ligne le 03/11/2019 à 14:20 (13128 messages sur soudeurs.com)
02/03/2015 07:46:42

Bonjour douardda ,

J'ai remonté votre remarque au super administrateur du site Soudeurs.com nommé Olivier pour connaître sa réponse à ce sujet.
Je partage l'avis de Mathieu
Il n'y a rien de sensible ou de secret sur ce site.

Bien cordialement,

#4
Olivier En ligne le 21/07/2021 à 19:02 (862 messages sur soudeurs.com)
02/03/2015 08:24:21

Envoyé par douardda
Bonjour,

je pratique ce site (en tant que lecteur essentiellement) depuis pas mal de temps mais de manière assez aléatoire.
En y revenant ce soir, je m'aperçois que le site propose toujours de s'enregistrer et ensuite de s'authentifier en http simple, sans chiffrement des communications.

En 2015, il est inadmissible (je pèse mes mots) de ne pas chiffrer les connections authentifiées à un site, quel qu'il soit.

Est-il prévu de mettre en place un certificat pour le site ? Il est maintenant possible d'obtenir de tels certificats gratuitement auprès fournisseurs reconnus par l'ensemble des navigateurs et des systèmes récents, il n'y a donc aucune raison de ne pas le faire.

Désolé de ce message à l'allure d'un "coup de gueule", mais c'est un problème important.

David


Bonjour, le https est-il bien utile sur un site communautaire de ce genre ?
Bref, d'ici peu nous allons examiner l'évolution que prendra ce site avec Dominique son propriétaire.
J'acte votre Demande et nous verrons si elle sera retenue.
Cordialement,
Olivier

#5
douardda En ligne le 14/11/2015 à 22:23 (3 messages sur soudeurs.com)
02/03/2015 13:24:23

Bonjour Mathieu, Dominique et Olivier,

merci d'avoir pris le temps de répondre, et je suis désolé si j'ai froissé quelqu'un.

Certes, je n'ai pas pour l'heure beaucoup contribué à ce site (j'avais un compte avant qui a été supprimé, donc je m'en suis recréé un récemment), essentiellement parceque je suis novice (et amateur) en matière de soudure, et de ce fait, plutôt consommateur que producteur de contenu d'un tel site/forum.
Maintenant, mon métier est justement l'informatique (libre), et si je peux rapidement apporter quelque chose à ce site, qui reste une mine d'informations avec des gens très compétents et dévoués pour l'animer, c'est justement en pointant de tels problèmes.
Si cela a été pris pour une simple plainte, j'en suis désolé,c'est que je n'ai pas expliqué suffisamment mon propos.

Peu de forums non liés à des problématiques informatiques se préoccupent en effet des problèmes de sécurité et de confidentialité (des utilisateurs). Ça ne veut pas dire qu'ils ont raison et qu'il faut laisser les choses en l'état. Et ça n'a rien à voir avec le fait d'être un service non critique (comme un service bancaire) ou non. Pendant longtemps, le port de la ceinture, en voiture, était considéré par beaucoup comme une nuisance sans grand intérêt. C'est pas pour ça qu'ils avaient raison.

Il ne s'agit de pas de protéger le site, mais les utilisateurs du site.
Je rappelle que ces protocoles sont mis en place pour garantir :

- l'authentification du serveur ;
- la confidentialité des données échangées ;
- l'intégrité des données échangées ;

Il s'agit bien de protéger les 2 parties, mais en particulier l'utilisateur du site. En HTTP simple, rien ne me garanti que je me connecte au vrai site soudeurs.com (et donc que je donne mes identifiants de connection au bon site, et donc que les fichiers éventuellement téléchargés ne sont pas truffés de virus et autres vers, et j'en passe). Et ce n'est pas une lubie d'imaginer que ce genre de problèmes et d'attaques arrive réellement. Suivre un tout petit peu l'actualité des questions de sécurité et de sûreté informatique pour s'en convaincre. Il ne s'agit pas ici de cacher des choses (même si en réalité, il y a des choses à cacher, même sur un site ouvert comme celui-ci). Il s'agit de protéger les utilisateurs (et donc le site).

Sur ce forum, quand on s'inscrit, on a un message qui propose d'aider le site en le promouvant. Pour ma part, malgré le grande qualité des contenus et des intervenants, je vais avoir du mal à le promouvoir sachant que ce principe de base de la gestion d'un site web (accès en https pour tout traffic authentifié) n'est pas respecté.

Donc ne vous y trompez pas, en faisant ce post, j'apporte réellement ma contribution au site soudeurs.com (plus que vous ne semblez le croire).

Je ne suis pas soudeur ou chaudronnier de métier, alors quand je cherche à améliorer mes maigres compétences en la matière, je lis des livres, je consulte ce site et je regarde des vidéos. Par contre, gérer des sites web, c'est plus mon rayon, et je sais à peu près de quoi je parle.

David

#6
Invité
02/03/2015 13:49:23

Merci David pour cet éclaircissement et désolé de vous avoir mal jugé ; récemment nous avons eu des expériences similaires un peu désolantes...(propositions intéressées que dans un sens).

Je laisse désormais les administrateurs du site vous répondre.

Bonne journée à vous.

Cordialement

Mathieu

#7
Olivier En ligne le 21/07/2021 à 19:02 (862 messages sur soudeurs.com)
02/03/2015 14:04:49

Envoyé par douardda
Bonjour Mathieu, Dominique et Olivier,

merci d'avoir pris le temps de répondre, et je suis désolé si j'ai froissé quelqu'un.

Certes, je n'ai pas pour l'heure beaucoup contribué à ce site (j'avais un compte avant qui a été supprimé, donc je m'en suis recréé un récemment), essentiellement parceque je suis novice (et amateur) en matière de soudure, et de ce fait, plutôt consommateur que producteur de contenu d'un tel site/forum.
Maintenant, mon métier est justement l'informatique (libre), et si je peux rapidement apporter quelque chose à ce site, qui reste une mine d'informations avec des gens très compétents et dévoués pour l'animer, c'est justement en pointant de tels problèmes.
Si cela a été pris pour une simple plainte, j'en suis désolé,c'est que je n'ai pas expliqué suffisamment mon propos.

Peu de forums non liés à des problématiques informatiques se préoccupent en effet des problèmes de sécurité et de confidentialité (des utilisateurs). Ça ne veut pas dire qu'ils ont raison et qu'il faut laisser les choses en l'état. Et ça n'a rien à voir avec le fait d'être un service non critique (comme un service bancaire) ou non. Pendant longtemps, le port de la ceinture, en voiture, était considéré par beaucoup comme une nuisance sans grand intérêt. C'est pas pour ça qu'ils avaient raison.

Il ne s'agit de pas de protéger le site, mais les utilisateurs du site.
Je rappelle que ces protocoles sont mis en place pour garantir :

- l'authentification du serveur ;
- la confidentialité des données échangées ;
- l'intégrité des données échangées ;

Il s'agit bien de protéger les 2 parties, mais en particulier l'utilisateur du site. En HTTP simple, rien ne me garanti que je me connecte au vrai site soudeurs.com (et donc que je donne mes identifiants de connection au bon site, et donc que les fichiers éventuellement téléchargés ne sont pas truffés de virus et autres vers, et j'en passe). Et ce n'est pas une lubie d'imaginer que ce genre de problèmes et d'attaques arrive réellement. Suivre un tout petit peu l'actualité des questions de sécurité et de sûreté informatique pour s'en convaincre. Il ne s'agit pas ici de cacher des choses (même si en réalité, il y a des choses à cacher, même sur un site ouvert comme celui-ci). Il s'agit de protéger les utilisateurs (et donc le site).

Sur ce forum, quand on s'inscrit, on a un message qui propose d'aider le site en le promouvant. Pour ma part, malgré le grande qualité des contenus et des intervenants, je vais avoir du mal à le promouvoir sachant que ce principe de base de la gestion d'un site web (accès en https pour tout traffic authentifié) n'est pas respecté.

Donc ne vous y trompez pas, en faisant ce post, j'apporte réellement ma contribution au site soudeurs.com (plus que vous ne semblez le croire).

Je ne suis pas soudeur ou chaudronnier de métier, alors quand je cherche à améliorer mes maigres compétences en la matière, je lis des livres, je consulte ce site et je regarde des vidéos. Par contre, gérer des sites web, c'est plus mon rayon, et je sais à peu près de quoi je parle.

David


Bonjour,
je ne suis pas soudeur, je suis développeur web et directeur d'agences. Nous possédons deux agences web en région Luxembourgeoise.
Voilà pour les présentations.
Nous sommes spécialisés dans la gestion de communauté. Certaines de ces communautés possèdent plus d'un million de membres.
Le https est-il une nécessité de nos jours : non, la seule chose positive du certificat SSL semble être l'amélioration du référencement du site, Google semble privilégier les sites en https depuis quelques temps. Mais avec un site de niche comme celui-ci, cela ne s'avère pas vraiment nécessaire.
Le https offre-t-il une protection aux membres ? Mon avis est partagé sur ce genre de site. Il peut y avoir certaines raisons à un problème de sécurité :
# l'utilisateur utilise le même mot de passe sur les sites qu'il visite : le https ne peut pas empêcher ou palier à ce problème.
# l'utilisateur est infecté par un virus de type keylogger : le https ne peut pas empêcher ou palier à ce problème.
# Un pirate intercepte le mot de passe d'un utilisateur qui s'identifie sur le site le https peut (pas toujours) empêcher ce genre de problème, mais encore une fois quel est l'intérêt de déployer ce genre de technique pour prendre possession d'un compte sur un forum ???
Le pirate ne privilégiera-t-il pas un compte administrateur plutôt que celui d'un simple membre sans privilèges réels ? Ne préfèrera-t-il pas utiliser une technique tel que le phishing (contre lequel le https ne peut rien...) pour obtenir les accès ?
# Un pirate prenant possession de votre compte pourra-t-il faire quelque chose de réellement grave ? Hormis poster et probablement se faire bannir endéans les quelques heures qui suivent...
# N'y a-t-il pas eu deux incidents de sécurité (connus) l'année passée avec le https ?

Bref, merci de rester réaliste dans vos débats et éviter de crier au loup alors qu'il n'y a fondamentalement pas de réels raisons à cela.
De là à ne pas recommander le site parce qu'il n'offre pas le https je trouve cela complètement ridicule...
J'ai pris le temps de vous répondre mais malheureusement n'aurait plus cette occasion de suite, une réponse comme celle-ci prend du temps et j'en dispose de très peu.
Cordialement,
Olivier

#8
locouarn En ligne hier à 08h51 (4787 messages sur soudeurs.com)
02/03/2015 20:03:33

Envoyé par douardda
... je suis désolé si j'ai froissé quelqu'un.
Il ne s'agit de pas de protéger le site, mais les utilisateurs du site.
Je rappelle que ces protocoles sont mis en place ...


Bonsoir,
Rassurez vous, je pense que vous n'avez froissé personne mais vous m'avez bien fait rire.
Les informaticiens ont l'art de rendre compliquées les choses les plus simples comme d'agiter des épouvantails pour justifier leur rôle.
Ils ont surtout une fâcheuse tendance à croire que les protocoles et autres usines à gaz de leur cru sont invulnérables, comme la ligne Maginot en son temps.
Respirez ! Que chacun utilise un bon antivirus (gratuit), fasse preuve de bon sens, et ce sera déjà pas mal.
La "sécurité" informatique est l'affaire de chacun et non pas seulement des gestionnaires de sites qui font déjà bien assez la preuve de leur bonne volonté.
Ce site communautaire propose gratuitement des informations précieuses et une somme d'expérience délivrée par des bénévoles passionnés.
Je considère qu'ils ont font déjà beaucoup ainsi. Libre aux internautes de disposer de cette mine de savoir sans exiger d'avantage... ou pas.
Je fais confiance aux administrateurs de ce site pour savoir ce qu'ils ont à faire.
Cordialement.

Sujets connexes les plus populaires

Solution Profil

27/11/2022 11:12:52 - ciclamene
Réponses : 0
Affichages : 8
ciclamene
27/11/2022 11:12:52

Demande d’aide Caracteristiques baguettes de brasure

21/10/2024 15:10:22 - plrb49
Réponses : 0
Affichages : 0
plrb49
21/10/2024 15:10:22

Question Posée Fenêtre parasite qui cache le forum

13/03/2023 14:16:18 - locouarn
Réponses : 10
Affichages : 47
Nicolas DELMOULY
19/10/2024 12:25:04

Question Posée Réactiver la fonction notification

02/04/2024 21:11:08 - d'jo79
Réponses : 1
Affichages : 2
Nicolas DELMOULY
19/10/2024 12:22:32

Solution Mise à jour du forum octobre 2024

19/10/2024 12:20:04 - Nicolas DELMOULY
Réponses : 0
Affichages : 0
Nicolas DELMOULY
19/10/2024 12:20:04

Demande d’aide Editeur périmé et risque de sécurité

13/08/2024 08:16:04 - locouarn
Réponses : 9
Affichages : 0
Nicolas DELMOULY
19/10/2024 12:19:10

Solution Mot de passe

01/04/2024 14:39:28 - d'jo79
Réponses : 3
Affichages : 3
locouarn
05/04/2024 06:55:07
Réponses : 36
Affichages : 40
mecanix
06/12/2023 22:25:28

Question Posée Nouveau sujet dans la messagerie

19/01/2023 17:00:30 - mecanix
Réponses : 0
Affichages : 12
mecanix
19/01/2023 17:00:30

Question Posée Attente de validation

12/10/2020 05:31:03 - Dominicus
Réponses : 1
Affichages : 21
Dominicus
12/10/2020 05:40:40
Réponses : 1
Affichages : 14
rutile
31/07/2022 09:08:32

Demande d’aide Je n'arrive pas voir les épaisseurs de métal dans certains tableaux

29/05/2021 11:36:12 - beb66
Réponses : 4
Affichages : 17
locouarn
30/05/2021 16:25:24

Demande d’aide insertion de photos dans les messages

13/05/2021 09:44:29 - jean-marie70
Réponses : 3
Affichages : 16
jean-marie70
13/05/2021 11:21:26

Dépannage polution de tous les messages

02/04/2021 06:12:45 - christwin
Réponses : 5
Affichages : 18
Nicolas DELMOULY
17/04/2021 01:48:55

Demande d’aide Retour en arrière contrarié-ant

13/03/2021 18:22:59 - Mebb
Réponses : 1
Affichages : 18
locouarn
13/03/2021 20:49:56

Information IMPORTANT : Possibilité de modifier son mot de passe

02/03/2021 08:10:57 - locouarn
Réponses : 0
Affichages : 17
locouarn
02/03/2021 08:10:57

Demande d’aide Tableau de bord

15/12/2020 07:10:20 - fadiese
Réponses : 3
Affichages : 29
locouarn
15/12/2020 10:18:05

Question Posée Insérer un fichier

25/10/2020 14:11:06 - shocker
Réponses : 6
Affichages : 39
shocker
02/11/2020 10:04:14