Bonjour,
je pratique ce site (en tant que lecteur essentiellement) depuis pas mal de temps mais de manière assez aléatoire.
En y revenant ce soir, je m'aperçois que le site propose toujours de s'enregistrer et ensuite de s'authentifier en http simple, sans chiffrement des communications.
En 2015, il est inadmissible (je pèse mes mots) de ne pas chiffrer les connections authentifiées à un site, quel qu'il soit.
Est-il prévu de mettre en place un certificat pour le site ? Il est maintenant possible d'obtenir de tels certificats gratuitement auprès fournisseurs reconnus par l'ensemble des navigateurs et des systèmes récents, il n'y a donc aucune raison de ne pas le faire.
Désolé de ce message à l'allure d'un "coup de gueule", mais c'est un problème important.
David
Bonsoir
Cela pour ma part ne me pose aucun problème ; à part vous plaindre qu'apportez vous à la communauté et au site soudeurs.com ? Avec 2 messages au compteur je trouve cela fort de café.
Ce site n'est pas une banque , il n'y a pas lieu de crypter les données , tous les forums que je fréquente fonctionnent ainsi en HTTP simple ...
Cordialement
Mathieu
Bonjour douardda ,
J'ai remonté votre remarque au super administrateur du site Soudeurs.com nommé Olivier pour connaître sa réponse à ce sujet.
Je partage l'avis de Mathieu
Il n'y a rien de sensible ou de secret sur ce site.
Bien cordialement,
Envoyé par douardda
Bonjour,
je pratique ce site (en tant que lecteur essentiellement) depuis pas mal de temps mais de manière assez aléatoire.
En y revenant ce soir, je m'aperçois que le site propose toujours de s'enregistrer et ensuite de s'authentifier en http simple, sans chiffrement des communications.
En 2015, il est inadmissible (je pèse mes mots) de ne pas chiffrer les connections authentifiées à un site, quel qu'il soit.
Est-il prévu de mettre en place un certificat pour le site ? Il est maintenant possible d'obtenir de tels certificats gratuitement auprès fournisseurs reconnus par l'ensemble des navigateurs et des systèmes récents, il n'y a donc aucune raison de ne pas le faire.
Désolé de ce message à l'allure d'un "coup de gueule", mais c'est un problème important.
David
Bonjour Mathieu, Dominique et Olivier,
merci d'avoir pris le temps de répondre, et je suis désolé si j'ai froissé quelqu'un.
Certes, je n'ai pas pour l'heure beaucoup contribué à ce site (j'avais un compte avant qui a été supprimé, donc je m'en suis recréé un récemment), essentiellement parceque je suis novice (et amateur) en matière de soudure, et de ce fait, plutôt consommateur que producteur de contenu d'un tel site/forum.
Maintenant, mon métier est justement l'informatique (libre), et si je peux rapidement apporter quelque chose à ce site, qui reste une mine d'informations avec des gens très compétents et dévoués pour l'animer, c'est justement en pointant de tels problèmes.
Si cela a été pris pour une simple plainte, j'en suis désolé,c'est que je n'ai pas expliqué suffisamment mon propos.
Peu de forums non liés à des problématiques informatiques se préoccupent en effet des problèmes de sécurité et de confidentialité (des utilisateurs). Ça ne veut pas dire qu'ils ont raison et qu'il faut laisser les choses en l'état. Et ça n'a rien à voir avec le fait d'être un service non critique (comme un service bancaire) ou non. Pendant longtemps, le port de la ceinture, en voiture, était considéré par beaucoup comme une nuisance sans grand intérêt. C'est pas pour ça qu'ils avaient raison.
Il ne s'agit de pas de protéger le site, mais les utilisateurs du site.
Je rappelle que ces protocoles sont mis en place pour garantir :
- l'authentification du serveur ;
- la confidentialité des données échangées ;
- l'intégrité des données échangées ;
Il s'agit bien de protéger les 2 parties, mais en particulier l'utilisateur du site. En HTTP simple, rien ne me garanti que je me connecte au vrai site soudeurs.com (et donc que je donne mes identifiants de connection au bon site, et donc que les fichiers éventuellement téléchargés ne sont pas truffés de virus et autres vers, et j'en passe). Et ce n'est pas une lubie d'imaginer que ce genre de problèmes et d'attaques arrive réellement. Suivre un tout petit peu l'actualité des questions de sécurité et de sûreté informatique pour s'en convaincre. Il ne s'agit pas ici de cacher des choses (même si en réalité, il y a des choses à cacher, même sur un site ouvert comme celui-ci). Il s'agit de protéger les utilisateurs (et donc le site).
Sur ce forum, quand on s'inscrit, on a un message qui propose d'aider le site en le promouvant. Pour ma part, malgré le grande qualité des contenus et des intervenants, je vais avoir du mal à le promouvoir sachant que ce principe de base de la gestion d'un site web (accès en https pour tout traffic authentifié) n'est pas respecté.
Donc ne vous y trompez pas, en faisant ce post, j'apporte réellement ma contribution au site soudeurs.com (plus que vous ne semblez le croire).
Je ne suis pas soudeur ou chaudronnier de métier, alors quand je cherche à améliorer mes maigres compétences en la matière, je lis des livres, je consulte ce site et je regarde des vidéos. Par contre, gérer des sites web, c'est plus mon rayon, et je sais à peu près de quoi je parle.
David
Merci David pour cet éclaircissement et désolé de vous avoir mal jugé ; récemment nous avons eu des expériences similaires un peu désolantes...(propositions intéressées que dans un sens).
Je laisse désormais les administrateurs du site vous répondre.
Bonne journée à vous.
Cordialement
Mathieu
Envoyé par douardda
Bonjour Mathieu, Dominique et Olivier,
merci d'avoir pris le temps de répondre, et je suis désolé si j'ai froissé quelqu'un.
Certes, je n'ai pas pour l'heure beaucoup contribué à ce site (j'avais un compte avant qui a été supprimé, donc je m'en suis recréé un récemment), essentiellement parceque je suis novice (et amateur) en matière de soudure, et de ce fait, plutôt consommateur que producteur de contenu d'un tel site/forum.
Maintenant, mon métier est justement l'informatique (libre), et si je peux rapidement apporter quelque chose à ce site, qui reste une mine d'informations avec des gens très compétents et dévoués pour l'animer, c'est justement en pointant de tels problèmes.
Si cela a été pris pour une simple plainte, j'en suis désolé,c'est que je n'ai pas expliqué suffisamment mon propos.
Peu de forums non liés à des problématiques informatiques se préoccupent en effet des problèmes de sécurité et de confidentialité (des utilisateurs). Ça ne veut pas dire qu'ils ont raison et qu'il faut laisser les choses en l'état. Et ça n'a rien à voir avec le fait d'être un service non critique (comme un service bancaire) ou non. Pendant longtemps, le port de la ceinture, en voiture, était considéré par beaucoup comme une nuisance sans grand intérêt. C'est pas pour ça qu'ils avaient raison.
Il ne s'agit de pas de protéger le site, mais les utilisateurs du site.
Je rappelle que ces protocoles sont mis en place pour garantir :
- l'authentification du serveur ;
- la confidentialité des données échangées ;
- l'intégrité des données échangées ;
Il s'agit bien de protéger les 2 parties, mais en particulier l'utilisateur du site. En HTTP simple, rien ne me garanti que je me connecte au vrai site soudeurs.com (et donc que je donne mes identifiants de connection au bon site, et donc que les fichiers éventuellement téléchargés ne sont pas truffés de virus et autres vers, et j'en passe). Et ce n'est pas une lubie d'imaginer que ce genre de problèmes et d'attaques arrive réellement. Suivre un tout petit peu l'actualité des questions de sécurité et de sûreté informatique pour s'en convaincre. Il ne s'agit pas ici de cacher des choses (même si en réalité, il y a des choses à cacher, même sur un site ouvert comme celui-ci). Il s'agit de protéger les utilisateurs (et donc le site).
Sur ce forum, quand on s'inscrit, on a un message qui propose d'aider le site en le promouvant. Pour ma part, malgré le grande qualité des contenus et des intervenants, je vais avoir du mal à le promouvoir sachant que ce principe de base de la gestion d'un site web (accès en https pour tout traffic authentifié) n'est pas respecté.
Donc ne vous y trompez pas, en faisant ce post, j'apporte réellement ma contribution au site soudeurs.com (plus que vous ne semblez le croire).
Je ne suis pas soudeur ou chaudronnier de métier, alors quand je cherche à améliorer mes maigres compétences en la matière, je lis des livres, je consulte ce site et je regarde des vidéos. Par contre, gérer des sites web, c'est plus mon rayon, et je sais à peu près de quoi je parle.
David
Envoyé par douardda
... je suis désolé si j'ai froissé quelqu'un.
Il ne s'agit de pas de protéger le site, mais les utilisateurs du site.
Je rappelle que ces protocoles sont mis en place ...