Ne pas cliquer
Parrain-Linux
mange des lasagnes de chat (mode WTF : ON)
Écrire un nouveau message
Page : 1
[En cours] Suggestion: Ajout du support HTTPS
Avatar
compte supprimé
utilisateur supprimé
supprimé
Inscrit le : inconnu
Messages : inconnu
Point(s) : 0
Localisation :

Posté le 27/12/2014 à 00:34:23
Citer

Cela me semble important pour tout site qui demande un mot de passe: Si il est intercepté cela peux compromettre d'autres services d'un même utilisateur.

Mais également pour un site qui demande des donations: Il serait tentant pour un intermédiaire réseau ou quelqu'un qui peut détourner le trafic de changer les coordonnées de dons (adresse crypto-devise/paypal)

Qu'en pensez vous?

Dernière édition le 01/01/2015 à 03:13:01
Remonter Descendre Permalien du message
Avatar
magnux77
utilisateur
Parrain
Inscrit le : 03/12/2011
Messages : 118
Point(s) : 631
Distribution : Mageia
Localisation :
Champs-sur-Marne, Seine-et-Marne, France
Posté le 27/12/2014 à 11:40:16
Citer

D'accord, tu causes de https, mais quelle est ta question ?

_________________
Pourquoi se priver quand on peut être libre...
Membre de l'April. Soutien Framasoft.
Remonter Descendre Permalien du message
Avatar
Tekkharibo
utilisateur
Parrain
Inscrit le : 29/10/2013
Messages : 240
Point(s) : 3976
Distribution : Debian ArchLinux
Localisation :
Albi, Tarn, France
Posté le 27/12/2014 à 12:32:44
Citer

je pense qu'il demande si PL passera un jour au https

_________________
HP EliteBook 8560p i7 2.8Ghz Ubuntu 20.04
RPi 4 2Go raspbian Domoticz
RPi 2 Octopi et Anet A8
Souris: RAT 7
Clavier: KBTalking Pure PRO 60% Black/Green

Mon Twitter
Mon hébergeur : 
PlanetHoster

Tu es nouveau et tu n'as pas encore fait ta présentation, va la faire on aime bien savoir des choses sur toi comme ou tu viens pourquoi tu es venu sur PL et sur Linux bien sur ;)

Pas de support par MP

Il me manque des accents quand je te réponds ? C'est juste que je suis en QWERTY et que je suis pas passé en US international #flemme
http://www.parrain-linux.com/promotion.php?image=PL-user.png&membre=tekkharibo
Remonter Descendre Permalien du message
Avatar
Magissia
administrateur
Marraine
Inscrit le : 28/08/2013
Messages : 720
Point(s) : 5109
Distribution : ArchLinux
Localisation :
localhost (pour de vrai), Autre pays, Autre pays
Posté le 01/01/2015 à 03:11:48
Citer

Salut,

Il est impossible qu'intercepter ton mot de passe Parrain-Linux affectes d'autres services car, soucieux de ta sécurité, tu as un mot de passe différent pour chaque services.

De plus, chiffrer de bout en bout la comunication n'empêchera pas les exploits de failles type " homme du milieu " quand applicable, et un certificat auto signé risque d'effrayer les utilisateurs car les navigateurs ont tendance à mettre de grands messages en rouge dès que le certificat ne leurs plaît pas, justifié ou non. 

Ça n'empêcherait pas non plus à quelqu'un d'abuser d'une éventuelle faille et récupérer les mots de passes hachés dans la base de données pour tenter de retrouver ton mot de passe par attaque brute force. 

Le site aura accès au chiffrement du client au serveur pour le public dès que possible (il y en a déjà un sur un port non standard car aucun essaie n'a été fait pour le moment et le certificat est auto signé) , mais pas pour les raisons que tu évoques. 
Je te prie aussi de bien vouloir attribuer un mot de passe unique et propre au site, nous ne seront pas responsable si tu te fais voler ton mot de passe commun depuis un autre emplacement en cas d'abus provenant de ton compte utilisateur. Tu peux utiliser ton trousseau de mot de passe favoris sur ta distribution si tu as peur d'oublier ton mot de passe.

Les donations passent par un service tiers qui assure lui-même sa sécurité, et nous ne pouvons pas leurs forcer la main sur quoi que ce soit. Si tu as des doutes sur le niveau de sécurité des solutions de donation proposée, je ne peux que t'invites à nous partager tes connaissances sur les services sécurisés pour ce genre de transferts. Le niveau de sécurité de PayPal est honorable, et le paiement par cryptomonnaie et aussi sécurisé que les machines qui hébergent les certificats assoassociés aux comptes (donc les utilisateurs eux-mêmes et pas le site) sauf cas spécifiques que nous ne pouvons de toute façon pas contrôler. 

Si tu as peur que l'argent d'une éventuelle donation se retrouve au mauvais endroit, tu peux contacter Guillaume en message privé et lui demander à envoyer un chèque en courrier A.R à son nom directement, de cette façon seul lui pourra récupérer l'argent. En cas d'abus, les types se retrouveront avec un chèque qu'ils ne peuvent déposer.

Cordialement 

_________________
http://s3.archive-host.com/membres/images/1228019761111749/magissiaf.png
Remonter Descendre Permalien du message
Écrire un nouveau message
Page : 1
Page générée en 0.0653 seconde(s).