Olduvaï
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.
Le Deal du moment :
SSD interne Crucial BX500 2,5″ SATA – 500 ...
Voir le deal
29.99 €

Absence d'HTTPS sur Forumactif : notions de sécurité informatique

+3
logan
Cyrus_Smith
tarsonis
7 participants

Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par tarsonis Ven 2 Jan 2015 - 20:12

Salut à tous !

Comme je me suis beaucoup déplacé l'année dernière, je me suis connecté sur Olduvaï à de nombreuses reprises via des accès internet un peu olé olé (aéroports, hôtels, etc...) comparés à mon accès perso, mon pont VPN, etc....

J'ai remarqué un gros problème qui touche Forumactif, alors que des tas de forums ont déjà rectifié le tir : https n'est pas implémenté.
Comme ceux qui ont déjà posé la question sur le forum des forums de Forumactif (notre hébergeur) se sont fait rembarrer, j'ai usé de pédagogie pour expliquer ce problème aux admins, et vous partage la discussion :

http://forum.forumactif.com/t373926-https-sur-forumactif-en-2014?thank=3157071

============================================================
Tarsonis a écrit:
Bonjour,
je sais que le sujet a déjà été ouvert par le passé, dont une fois en 2014.
La seule réponse apportée à la question
Est ce qu'il est possible d'activer HTTPS ?
a été :
Non ce n'est pas possible. Le https ne s'utilise que pour l'envoi de données cryptées.

http://forum.forumactif.com/t331243-mettre-le-https-sur-un-forum

Je ne comprends pas vraiment cet argument, c'est justement le but, crypter une connexion !
Ce n'est pas réservé aux transactions bancaires, quasiment tous les sites usuels proposent le protocole HTTPS : Facebook, Twitter, Youtube, et bon nombre de forums.

Ce protocole est le seul moyen de sécuriser une connexion entre un utilisateur et forumactif.

A l'heure actuelle, absolument TOUTES les informations transitent en clair sur sur le réseau.
C'est à dire, qu'en tant qu'administrateur du forum, mon login ET mon mot de passe (+ le texte, les MPs, etc...) sont transparents pour tous les noeuds du réseau.

Que ce soit dans un hôtel avec le wifi, dans une gare, un aéroport, depuis un cybercafé, un réseau de fac ou d'entreprise (+FAI), un simple soft comme Wireshark peut filtrer et retrouver ces infos en quelques secondes.

Cela compromet tout de même les informations personnelles de tous les utilisateurs du forum (mails perso, comptes, etc...).
Et par extension, celles de TOUS les utilisateurs de Forumactif.

Accessoirement, c'est un point essentiel de neutralité du net, qui permettra aux utilisateurs d'accéder au forum quel que soit le filtrage en place (j'ai un accès difficile depuis Singapour car certaines parties du forum contiennent des mots clefs filtrés).

Comme beaucoup de forums que je fréquente ont déjà adopté https, je vous repose la question autrement :
Vous n'implémentez pas HTTPS pour complexité technique, ou bien par choix politique ?

Merci d'avance pour votre réponse. https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Icon_wink
============================================
The Godfather a écrit:

Bonjour et merci pour cette question pertinente,

Comme vous devez le savoir, la sécurité des informations qui transitent par le protocole HTTPS est basée sur l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de validité du certificat d'authentification du site visité. https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Icon_cyclops

Mais bien que l’HTTPS permet une vérification de l'identité du site web auquel vous accédez, la garantie de confidentialité et de l'intégrité des données envoyées via ce protocole et reçues du serveur reste théorique…  https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Suspect

En effet, des chercheurs en sécurité informatique ont présenté lors de différentes conférences spécialisés (Blackhat Conference, Ekoparty Security Conference…etc.), des protocoles (exemple : « Man in the middle »), afin de contourner le chiffrement HTTPS. Des protocoles dont l’efficacité a était démontrée...  https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Affraid

Dès lors, l’HTTPS n’est pas la réponse à tout. Bien que limitant certains risques, il reste tout aussi vulnérable. D’autant plus qu’appliquer pareil protocole sur nos forums impliquerai l’obligation d’obtention d’un certificat HTTPS pour chaque forum Forumactif, soit des 100énes de milliers de certificats ! Et même si on suppose que cela soit possible et qu’un forum puisse assumer le coup financier de son certificat, absolument tout son contenu doit également être chiffré en https sinon les pages du forum déclencheront de fausses alertes de sécurité (pour ne citer que cet exemple car d'autres cas particuliers existent)!

Très difficile voir impossible de garantir cela surtout que par principe dans un forum, c’est la communauté qui fait son contenu et tout le monde peut poster ce qu'il veut. Le problème est qu’il suffit qu’un utilisateur poste un contenu qui n’est pas sécurisé en HTTPS (une image dans un message par exemple qui n'est pas hébergé en https) pour déclencher une alerte de sécurité faisant peur a tout ceux qui consultent le forum impactant ainsi négativement son audience…

En gros, l'HTTPS "oui" mais pas pour tous les cas. Car dans le nôtre, bien que nous sommes conscient de son utilité dans certains cas, et au delà du fait que cela ajoute un coup financier non négligeable que beaucoup de forums ne pourront pas amortir, il est bien difficile de le mettre en place sur nos forums sans risquer de pénaliser pas mal d’utilisateurs https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Icon_pale

Néanmoins rassurez-vous c’est une option qui est à l'étude par nos équipes de recherche & développement et peux être qu’un jour on pourrait la mettre en place d’une façon efficiente pour tous sur nos services.

En tout cas, le message est passé https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Icon_wink


Merci https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Icon_king
===================================

Tarsonis a écrit:
par Tarsonis le Jeu 27 Nov 2014 - 22:37
Bonjour,
merci pour votre réponse rapide et complète.

Je sais pertinemment que l'accès exclusif en HTTPS pur n'est pas réalisable en permanence, avec liens externes, images, etc... qui vont fuiter dans tous les sens https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Icon_wink

L'essentiel de mon problème tourne bien entendu autour des modalités de connexion; quand j'ai remarqué que mes login et mdp transitaient en clair, cela m'a un peu gêné. Pour le parcours et la gestion du forum, c'est mois embêtant https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Icon_wink

Je ne pensais pas que la structure en place nécessitait un certificat par forum, mais bien un seul pour avoir accès à votre base de donnée.

Message bien reçu https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Icon_king

Bon, je ne leur ai pas plus cassé les pieds et plusieurs d'entre vous vont sûrement sourire à la réponse qui m'a été donnée....

Donc :
- les login et mot de passe transitent en clair sur tout le réseau (vu avec Wiresharck)
- le mot de passe est en clair dans leur base de données (envoi par mail).

Mes recommandations pour les membres des forums liés à l'hébergeur Forumactif :

- J'aurais tendance à éviter de me connecter via des réseaux internet non fiables (gares, hôtels, aéroports, cybercafé, etc...).
- Il serait préférable de changer de temps en temps de mot de passe. Mais il est important de noter que l'accès à sa boite mail subit le même problème : connexion sécurisée obligatoire sinon n'importe qui arrive à réinitialiser le mdp. Exemple : gmail (en ligne) accepte le https, tout comme la configuration de Thunderbird (en client local) si le serveur mail l'autorise.
- Quand on se connecte, il est possible de voir la date et l'heure de la dernière connexion en haut à droite. Par exemple pour moi : "Dernière visite le Ven 2 Jan 2015 - 18:36".
Si cette date vous paraît complètement absurde par rapport à votre dernière connexion effective, vous pouvez avoir un doute concernant une utilisation frauduleuse de votre compte.
- Le protocole https n'est pas réservé au chiffrage des données bancaires, mais bien à ce que vous échangez sur le net. C'est le premier point de sécurité à propos de votre accès sur internet; il faut l'exiger. A titre d'exemple, j'ai eu un mal fou pour accéder depuis Singapour à Olduvaï, certaines pages d'Amazon, d'Ebay, de Youtube, etc...des problèmes qui touchent amha également certains de nos membres....car là bas le net est relativement filtré par mot clef. HTTPS permet de s'en affranchir la plupart du temps...sauf pour forumactif puisque le protocole n'est pas implémenté.
Second cas qui intéressera certains qui s'amusent avec la loi par MP ou dans des parties à accès restreint sur certains forums : tous vos écrits transitent en clair depuis votre ordinateur jusqu'à celui qui ouvre la page du topic, en passant par les FAI, les noeuds, etc....couplez à cela avec les dernières news du topic Enfer informatique clind'oeil

________________________________________________________
L'expérience est une lumière qui n'éclaire que ceux qu'elle a déjà brûlés. Cédric Dassas

Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France - 甩葱歌 - 古箏 - Distant Pulsar - Un Mauvais Fils - 25 Years of Zelda - Machinarium
tarsonis
tarsonis
Administrateur

Masculin Nombre de messages : 10770
Age : 38
Localisation : Grand Est
Loisirs : Trek, ethnobotanique, électronique DIY, nucléaire, médecine, post apo.
Date d'inscription : 21/05/2008

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par Cyrus_Smith Sam 3 Jan 2015 - 12:26

Salut,

Merci d'avoir pris le temps de faire la demande, c'est une question qui me préoccupe aussi.

tarsonis a écrit:plusieurs d'entre vous vont sûrement sourire à la réponse qui m'a été donnée....
Travaillant dans ce domaine, ce genre de réponse, hélas courant, m'agace plus qu'elle ne me fait sourire. En effet, très franchement, cette réponse de l'admin est du pipeau: il serait possible d'utiliser HTTPS uniquement pour l'identification et l'authentification (le problème des contenus externes ne se pose alors pas) et (avec les navigateurs modernes du moins, c'est à dire ceux qui supportent l'option SNI de TLS) seulement pour les forums qui le souhaitent (possibilité d'une option payante). Mais il est depuis longtemps manifeste que la sécurité n'est pas la priorité de forumactif.

Et je considère ceci comme la cerise sur le gateau:
The Godfather a écrit:Mais bien que l’HTTPS permet une vérification de l'identité du site web auquel vous accédez, la garantie de confidentialité et de l'intégrité des données envoyées via ce protocole et reçues du serveur reste théorique…  https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Suspect

En effet, des chercheurs en sécurité informatique ont présenté lors de différentes conférences spécialisés (Blackhat Conference, Ekoparty Security Conference…etc.), des protocoles (exemple : « Man in the middle »), afin de contourner le chiffrement HTTPS. Des protocoles dont l’efficacité a était démontrée...  https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Affraid
Traduction: il est possible dans certaines circonstances très particulières et avec un savoir faire rare de crocheter une serrure, donc on ne met pas de serrure. wall
Je suis surpris qu'il n'ait pas aussi mentionné Heartbleed pour affirmer qu'utiliser HTTPS diminuerait la sécurité!


Aux recommandations de tarsonis, j'ajoute celle-ci: quand c'est possible, privilégier la connexion par GSM/3G à un Wifi inconnu et/ou en clair (à condition de chiffrer la connexion entre le téléphone et l'ordi, sinon ça ne change pas grand chose.). Aristote avait donné une marche à suivre.


À plus long terme, on pourrait envisager des proxies HTTPS, c'est-à-dire des relais auxquels, lorsque l'on est en déplacement, on se connecterait de manière sûre (connexion HTTPS), et qui transmettraient vers la destination réelle (en clair cette fois). Le problème est qu'il faut faire confiance au relais utilisé, puisqu'il voit passer sans protection le contenu de la communication, y compris donc le mot de passe.
À ce propos, je déconseille vivement l'usage des services de proxies "gratuits" qui existent sur divers sites internet: souvent leur business model est en fait basé sur la récupération de mots de passe (et de là d'autres choses). Pour des raisons similaires, l'usage de Tor est aussi à proscrire dans ce cas: les points de sortie sont susceptibles à des attaques du même type.
La question est donc à quel proxy chacun pourrait-il faire confiance? Une réponse est: "à son propre proxy". Celui-ci peut alors s'envisager comme un service que l'on laisserait tourner sur un ordinateur à la maison, ordinateur qui pourrait être une Oldubox. Lors d'un déplacement, on se connecterait ainsi d'abord chez soi de manière sûre (HTTPS), et de là la connexion se ferait comme d'habitude; même si la liaison entre le lieu où l'on se trouve et le domicile est douteuse, HTTPS protègerait cette partie.
S'il y a des gens que ce problème inquiète suffisamment, on peut ouvrir un fil dans les ateliers pour réfléchir à cette question.

tarsonis a écrit:Second cas qui intéressera certains qui s'amusent avec la loi par MP ou dans des parties à accès restreint sur certains forums : tous vos écrits transitent en clair depuis votre ordinateur jusqu'à celui qui ouvre la page du topic, en passant par les FAI, les noeuds, etc.
C'est très vrai, mais dans ce cas https est rarement suffisant...
Cyrus_Smith
Cyrus_Smith
Membre Premium - Participe à rendre le contenu de nos forums plus pertinent & pragmatique

Masculin Nombre de messages : 2252
Localisation : Île mystérieuse
Date d'inscription : 02/09/2011

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par tarsonis Sam 3 Jan 2015 - 16:18

Merci Cyrus !
Cyrus_Smith a écrit:En effet, très franchement, cette réponse de l'admin est du pipeau: il serait possible d'utiliser HTTPS uniquement pour l'identification et l'authentification
C'est bien ce que je me disais. Au moins sur les identifiants, les membres (et à fortiori les admins) de Forumactif devraient pouvoir se connecter sans énorme fuite en plein milieu.


Aux recommandations de tarsonis, j'ajoute celle-ci: quand c'est possible, privilégier la connexion par GSM/3G à un Wifi inconnu et/ou en clair
Bien vu !


La question est donc à quel proxy chacun pourrait-il faire confiance? Une réponse est: "à son propre proxy".
Est-ce que tu aurais une solution autonome et relativement simple pour contourner le problème des IP dynamiques de certains FAI ? Mon VPN tourne avec no-ip, mais c'est un peu instable.... clind'oeil


C'est très vrai, mais dans ce cas https est rarement suffisant...
Disons que cela me semble être la première brique, nécessaire mais non suffisante fouet

________________________________________________________
L'expérience est une lumière qui n'éclaire que ceux qu'elle a déjà brûlés. Cédric Dassas

Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France - 甩葱歌 - 古箏 - Distant Pulsar - Un Mauvais Fils - 25 Years of Zelda - Machinarium
tarsonis
tarsonis
Administrateur

Masculin Nombre de messages : 10770
Age : 38
Localisation : Grand Est
Loisirs : Trek, ethnobotanique, électronique DIY, nucléaire, médecine, post apo.
Date d'inscription : 21/05/2008

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par Cyrus_Smith Sam 3 Jan 2015 - 16:57

tarsonis a écrit:Est-ce que tu aurais une solution autonome et relativement simple pour contourner le problème des IP dynamiques de certains FAI ? Mon VPN tourne avec no-ip, mais c'est un peu instable.... clind'oeil
De solution simple non.
Une alternative qui semble bien marcher (collègue) mais difficile à mettre en place initialement est l'utilisation de tunnels IPv6 de manière à avoir une adresse IP[v6] fixe. L'adresse IP[v4] donnée par le FAI reste dynamique, mais un script sur la machine rétablit le tunnel dès que nécessaire. Dans le cas qui nous intéresse, on pourrait même normalement se débarrasser d'HTTPS et du proxy au profit d'IPsec et d'un simple routage du trafic de la machine mobile vers la machine fixe, via la liaison IPv6 protégée par IPsec.

Si on essaye de fournir une solution "clef en main" à partir d'Olduboxes par exemple, ce serait à envisager, puisque la partie difficile de la configuration n'aurait alors pas besoin d'être faite par l'utilisateur. scratch

tarsonis a écrit:
C'est très vrai, mais dans ce cas https est rarement suffisant...
Disons que cela me semble être la première brique, nécessaire mais non suffisante fouet
Dans le contexte de "s'amuser avec la loi", comme tu l'écris, je ne suis même pas sûr que HTTPS soit réellement la brique de base appropriée, le serveur est un point trop vulnérable. Des solutions plus robustes passeraient par des choses comme Freenet et les services cachés de Tor.
Cyrus_Smith
Cyrus_Smith
Membre Premium - Participe à rendre le contenu de nos forums plus pertinent & pragmatique

Masculin Nombre de messages : 2252
Localisation : Île mystérieuse
Date d'inscription : 02/09/2011

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par tarsonis Sam 3 Jan 2015 - 18:34

Re !
Cyrus_Smith a écrit:l'utilisation de tunnels IPv6 de manière à avoir une adresse IP[v6] fixe. L'adresse IP[v4] donnée par le FAI reste dynamique, mais un script sur la machine rétablit le tunnel dès que nécessaire. Dans le cas qui nous intéresse, on pourrait même normalement se débarrasser d'HTTPS et du proxy au profit d'IPsec et d'un simple routage du trafic de la machine mobile vers la machine fixe, via la liaison IPv6 protégée par IPsec.
En voilà une idée qu'elle est bonne ! clind'oeil


Dans le contexte de "s'amuser avec la loi", comme tu l'écris, je ne suis même pas sûr que HTTPS soit réellement la brique de base appropriée, le serveur est un point trop vulnérable. Des solutions plus robustes passeraient par des choses comme Freenet et les services cachés de Tor.
Entièrement d'accord, juste que pour les membres qui utilisent Forumactif pour échanger du contenu critique (les anciens voient sûrement lesquels j'ai en tête, qui ont une tendance lourde à appeler leurs congénères des "zombies", à nous estampiller "bisounours", et à "refaire" le monde dans une "partie privée"), cela va commencer à leur faire froid dans le dos; cette boutade leur était destinée clind'oeil

________________________________________________________
L'expérience est une lumière qui n'éclaire que ceux qu'elle a déjà brûlés. Cédric Dassas

Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France - 甩葱歌 - 古箏 - Distant Pulsar - Un Mauvais Fils - 25 Years of Zelda - Machinarium
tarsonis
tarsonis
Administrateur

Masculin Nombre de messages : 10770
Age : 38
Localisation : Grand Est
Loisirs : Trek, ethnobotanique, électronique DIY, nucléaire, médecine, post apo.
Date d'inscription : 21/05/2008

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par logan Mar 6 Jan 2015 - 13:57

Bien vu d'avoir relancer forumactif sur le sujet !

Puis les "wildcard certificat" existent, pas forcément besoin d'avoir un certificat dédié pour chaque sous-domaine ou forum.
Et les certificats gratuits ca existe aussi, comme cacert.org ...
Arf ...

Aussi la requete qui passe sur le réseau quand on se connecte sur le forum est la suivante :
https://www.le-projet-olduvai.com/login?autologin=on&login=Connexion&password=xxxxxxxxx&query=&redirect=&username=logan (mon pass remplacé bien sûr par xxxxxxxxx)
C'est plutot très explicite pour quiconque fait de l'interception de traffic entre le client et les serveurs forumactifs (ils pourraient au moins codé les champs autrement).
Re arf ...

Les solutions proposées par Cyrus sont intéressantes.

Sinon au pire du pire, si on utilise un wifi pas secure et qu'on n'a pas de vpn dédié, on peut toujours utiliser des browser vpn ssl gratuit comme https://1.hidemyass.com
Ca chiffre au moins la connexion de sortie, entre vous et le vpn. Donc le routeur wifi de l'hotel par exemple ne voit pas le mot de passe du forum en clair par exemple.
Après comme disait Cyrus ca suppose de faire confiance aux personnes qui gérent le vpn .. et les infos transitent toujours en clair entre le vpn et forumactif.
ps : hidemyass sont sérieux quand même, par contre n'allez pas pirater des agences gouvernementales avec, car ils fourniront vos infos comme ils l'ont fait pour lulzsec clind'oeil
logan
logan
Animateur

Masculin Nombre de messages : 2646
Localisation : France
Date d'inscription : 17/03/2008

http://oldu.fr/

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par logan Mar 6 Jan 2015 - 15:35

Un autre truc embêtant avec le fait de surfer sur des sites non ssl par exemple, c'est que tout le contenu (tous les "mots") de la page que vous consultez, circulent en clair sur le réseau.

Si vous consultez fréquemment, même sans intention mauvaise, des pages qui contiennent des mots sensibles. au pif : "terrorisme, al quaida", "glock 26", "chlorate de soudre, engrais, sucre" ou bien d'autres encore comme vous pouvez l'imaginez ... Les filtres placés sur les routeurs et autres équipements un peu partout dans le monde et contrôlés par la NSA, le GCHQ et les autres, vont dans certains cas ajoutés à votre "profil" quelques petits points de bonus supplémentaires clind'oeil Votre "profil" sera enrichi de vos nouveaux centres d’intérêt, et vous serez donc un peu plus catalogués dans les gens à surveiller.
Et dans certains cas, plus vous êtes catalogués dans les gens à surveiller, plus on capture et conserve longtemps du traffic vous concernant.

Bon, on est un peu dans le mode parano là, on ne connait pas précisément les filtres en place (et il y a d'autres critères), et tout le trafic n'est pas intercepté tout le temps (quoique sur ce point on s'en approche). Après personne n'imaginait avant Snowden que les capacités d'interception étaient "aussi" puissantes, et elles ont encore bien évolués depuis. Mais au moins en étant en https (ssl), le contenu est chiffré, donc le contenu des pages que vous lisez ne passent pas en clair, c'est déjà ca.

Pour çà que j'essaye d'utiliser quand c'est possible du https (qui n'est pas non plus 100% secure), et même de plus en plus un serveur vpn pour surfer. car même si je ne fais rien de mal, je consulte souvent des sites avec du contenu qui pourrait paraitre suspect, même si ce n'est pas le cas.

A noter aussi, que même si vous utilisez un vpn, vous n'êtes pas forcément anonyme, souvent bien loin de là.
La NSA (entre autre) identifie votre "profil" avec votre adresse ip certes, mais finalement surtout maintenant avec des moyens plus pratiques et efficaces. Car l'adresse ip ca change souvent, au boulot vous n'avez pas la même, en voyage non plus. Donc ils utilisent aussi maintenant les identifiants uniques que fournissent votre navigateurs web, vos cookies, et pas mal d'autres choses. Ils font aussi de l'association de traffic (tous les postes qui se sont connectés à tel email, etc.)

- Bien sûr, vous n’intéressez surement pas la NSA, mais ça n'empêche pas que cette collection massive de données est fait de manière automatique, et pour quasiment tout le monde (dans certains cas ça concerne que les métas-donnés, dans d'autres c'est plus).
- Bien sûr, vous n’intéressez pas les US, et le France capture surement moins de données, mais les états partagent de plus en plus ces données entre eux quand c'est nécessaire.
- Bien sûr, la plupart des gens vont dire, "c'est pas grave, je ne fais rien de mal". C'est surement vrai, mais qui sait quelles seront les lois dans 10 ou 20 ans ? Qui sait aussi ce que vous serez vous même devenu d'ici là ?

Exemple au hasard : Imaginez une situation de crise assez dégradée dans quelques années, vous vous inquiétez et acquérez une arme non déclarée car vous vous faites du souci pour la sécurité de votre famille. Manque de bol, vous vous faites attraper. C'est très très mal, mais vous n’êtes pas forcément un super criminel qui va aller en prison. Imaginez par contre à ce moment qu'on vous sorte, "Monsieur, circonstances TRÈS aggravantes : vous avez déjà consulté 40 fois des pages sur comment acheter des armes, vous avez consulté 50 fois des pages sur comment fabriquer des explosifs, vous avez consulté 1500 fois des pages d'un forum d'illuminés qui parlaient de faire des BAD en France, ce n'est pas un acte isolé, vous avez agi avec préméditation, puis vous avez aussi consulté ... ... et échangés des MP avec ce dangereux ... ... "

Encore une fois j'exagère un peu, mais bon vous voyez surement l'idée clind'oeil

Évitons quand c'est possible, d'enrichir un peu plus les mégas bases de données qui sont en train de se construire sur nos vies en ligne.
logan
logan
Animateur

Masculin Nombre de messages : 2646
Localisation : France
Date d'inscription : 17/03/2008

http://oldu.fr/

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par Cyrus_Smith Mar 27 Jan 2015 - 12:28

Salut,

Pour les bidouilleurs qui ont envie de bidouiller, ci-joint un fichier de configuration pour HAProxy (v. 1.5.x) qui fait le service mininal:
Code:
# Remplacer aux différents endroits PORT et NOM par les valeurs adéquates.
# Une fois en place, il faut se connecter à https://NOM:PORT/
#
# NOM peut être un nom de domaine ou une adresse IP
# Si PORT < 1024, il faudra probablement être root pour lancer haproxy; il y a
#  alors intérêt à utiliser un nom d'utilisateur distinct + chroot. Ce n'est pas
#  fait dans cet exemple. Voir les options "user", "group" et "chroot".
#
# NOM.pem doit être un certificat pour NOM. Pour générer un certificat auto-signé:
#   openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout NOM.key -out NOM.crt
# (aux questions, ne repondre que NOM à "Common Name", laisser blanc le reste)
#   cat NOM.crt NOM.key > NOM.pem
#
# Si derrière un NAT/firewall, il faudra faire les ouvertures/redirections adéquates.

global
    daemon
    maxconn 32
    tune.ssl.default-dh-param 4096
    ssl-default-bind-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

defaults
    mode http
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms

frontend https-in
    bind *:PORT ssl crt NOM.pem
    rspadd  Strict-Transport-Security:\ max-age=15768000
    default_backend servers

backend servers
    http-request replace-value Host ^(.*)$ www.le-projet-olduvai.com
    http-response replace-value Location ^http://www\.le-projet-olduvai\.com(.*)$ https://NOM:PORT\1
    server server1 le-projet-olduvai.com:80
Cyrus_Smith
Cyrus_Smith
Membre Premium - Participe à rendre le contenu de nos forums plus pertinent & pragmatique

Masculin Nombre de messages : 2252
Localisation : Île mystérieuse
Date d'inscription : 02/09/2011

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par tarsonis Mar 7 Mar 2017 - 21:15

Salut,
Forumactif se met enfin à HTTPS :
https://www.forumactif.com/creer-forum-https

M'enfin bon, la vraie raison semble plus commerciale que sécuritaire :
Malgré tout, ces données sensibles sont correctement protégées sur tous les forums, en HTTP comme en HTTPS. Forumactif veille à la sécurité des forums gratuits depuis plus de 12 ans maintenant. Il n'est donc pas obligatoire d'avoir un forum d'avantage sécurisé via un certificat SSL.
[...]

Mais le vrai avantage de sécuriser son forum avec un certificat SSL est la mise en avant du protocole HTTPS par les navigateurs et moteurs de recherche.

Ce serait presque oublier que les identifiants admin et modo passent en clair sur absolument tout le réseau, et avec, un accès potentiel à toutes les infos des membres... mais ce n'est que digression puisque maintenant que les sites en https sont mieux indexés, cela devient "intéressant".

L'option est payante via des crédits, et seul l'admin d'origine a le droit de l'activer. clind'oeil
Pour ma part, je veille toujours à me connecter sur un accès au moins difficilement lisible des voisins (en 3G) et j'évite les wifi publics ou à clef partagée....

________________________________________________________
L'expérience est une lumière qui n'éclaire que ceux qu'elle a déjà brûlés. Cédric Dassas

Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France - 甩葱歌 - 古箏 - Distant Pulsar - Un Mauvais Fils - 25 Years of Zelda - Machinarium
tarsonis
tarsonis
Administrateur

Masculin Nombre de messages : 10770
Age : 38
Localisation : Grand Est
Loisirs : Trek, ethnobotanique, électronique DIY, nucléaire, médecine, post apo.
Date d'inscription : 21/05/2008

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par logan Jeu 21 Mar 2019 - 10:00

Je n'avais pas vu ce dernier post de tarsonis. En effet possible maintenant d'activer le https en prenant le package "avancé" de forumactif : 

Cout : 3600 credits à l'année (4000 crédits = 39 euros). C'est vraiment hors de prix ... 

Et pourtant c'est extrêmement frustrant de ne pas être en https nos jours .. Tous nos mots passe, messages privés, tout quoi, passent complètement en clair sur le réseau. On peut limiter les risques en passant par un vpn comme disait tarsonis, mais très peu de gens le font au final.

Il y a aussi le référencement amoindri en http, et d'autres trucs ..

Sérieux casse tête ... est ce que çà faudrait le coût de payer autant ? je ne pense pas au final car on restait quand même chez eux .. avec tous les problèmes que ca cause (de plus en plus de pub, un contenu qui n'est pas le notre, si forumactif ferme la porte on pers tout, etc..)

Au final, est ce que cela ne vaudrait pas le coup de migrer le forum actuel sur une plateforme autonome ?

Il y aurait des solutions pour le faire, comme sur https://ordimato.com/webmastering/transferer-son-forumactif-vers-phpbb3/ avec le logiciel Lalf (Logiciel d’Aide à la Libération de Forumactif). Forumactif fait tout ce qu'il peut pour que ce script ne marche plus, et vu qu'il n'y pas été mis à jour récemment, à voir si il marche encore, ou si il y a d'autres solutions.

Vu la quantité d'information pertinente que nous avons amassé depuis ces 13 dernières années, notre volonté d'être "résilient", c'est peut être le cap à prendre ..

Edit : Apparemment le script marcherait toujours : https://github.com/Roromis/Lalf-Forumactif/issues/67 : Posté en Janvier 2019 : "Cet outil fonctionne toujours, je l'ai utilisé il y a quelques heures. Quelle est précisément la demande d'évolution demandée ?" Par contre plus de support de l'auteur, et donc à debugger soi même si problèmes.

Edit2 : En cas de migration, à noter qu'on perd par contre tous les messages privés des membres, et que tous les mots de passe sont à réinitialisés. Mais encore une fois, est ce que cela ne vaut pas le coup ? plutôt que risquer de perdre tout le contenu du forum un jour, si forumactif ferme ses portes, plus tous les autres avantages.


Dernière édition par logan le Jeu 21 Mar 2019 - 10:29, édité 1 fois
logan
logan
Animateur

Masculin Nombre de messages : 2646
Localisation : France
Date d'inscription : 17/03/2008

http://oldu.fr/

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par Jeff01 Jeu 21 Mar 2019 - 10:25

Pourquoi pas, je suis près à donner un coup de main.
En effet, faire sans HTTPS aujourd'hui devient de plus en plus compliqué.
Et tu voudrais héberger ou ? Un hébergement dédié ? mutualisé ? Pourquoi pas notre propre serveur ? (on trouve des VM à 1€ par mois aujourd'hui) ?
Je suis ingénieur IT aussi, je bosse notamment en datacenter entre autre sur des solutions hyperconvergées (Nutanix, AHV, VMWare / VXRail, ...) donc imaginer une solution virtualisée et multi-redondée, j'peux apporter de l'aide clind'oeil

________________________________________________________
Les espèces qui survivent ne sont pas les espèces les plus fortes, ni les plus intelligentes, mais celles qui s’adaptent le mieux aux changements.
Charles Darwin
Jeff01
Jeff01
Membre

Masculin Nombre de messages : 1104
Age : 49
Date d'inscription : 23/06/2016

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par logan Jeu 21 Mar 2019 - 10:33

C'est le coup du https qui m'a remis sur cette idée. mais le peut être plus important c'est le risque de perdre tout notre contenu si forumactif ferme, se fait pirater, ou autre scénario.

Comme tu dis, plein de solution possible pour l'héberger ailleurs. Il y a le serveur dédié oldu.fr qui pourrait l'héberger (chez online.net), ou sinon comme tu dis des VMs dédiés moins cher ailleurs, ou d'autres possibilités. 

Faudrait d'abord voir ce qu'en pense tarsonis et krav.

Si on partait sur cette idée, clair que çà serait bien de s'y mettre à plusieurs car il y aurait du boulot ..
logan
logan
Animateur

Masculin Nombre de messages : 2646
Localisation : France
Date d'inscription : 17/03/2008

http://oldu.fr/

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par Jeff01 Jeu 21 Mar 2019 - 11:19

Et bien je suis à votre disposition en cas de besoin.
Pourquoi pas aussi héberger sur ToR (pas que, mais aussi)
Jeff01
Jeff01
Membre

Masculin Nombre de messages : 1104
Age : 49
Date d'inscription : 23/06/2016

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par Catharing Jeu 21 Mar 2019 - 12:59

Salut les experts ,Very Happy
Ce n'est absolument pas mon domaine mais si besoin d'un coup de main style "arpette du clavier" n'hésitez pas!
Question,39€ est-ce que dans un premier temps cela ne vaudrait pas le coup,afin d'avoir une année comme marge de manœuvre ?
Dans l'affirmative,je participe.

________________________________________________________
"Le problème avec ce monde est que les personnes intelligentes sont pleines de doutes tandis que les personnes stupides sont pleines de confiance."
"Quand on se fait vieux, on se réveille chaque matin avec l'impression que le chauffage ne marche pas."
C'est ça le problème avec la gnôle, songeai-je en me servant un verre. S'il se passe un truc moche, on boit pour essayer d'oublier; s'il se passe un truc chouette, on boit pour le fêter, et s'il ne se passe rien, on boit pour qu'il se passe quelque chose.
Catharing
Catharing
Membre Premium - Participe à rendre le contenu de nos forums plus pertinent & pragmatique

Autre / Ne pas divulguer Nombre de messages : 9545
Localisation :
Date d'inscription : 22/11/2011

http://amicaledesnidsapoussiere.over-blog.com/

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par tarsonis Jeu 21 Mar 2019 - 20:33

Hello,
aucun souci de mon côté; j'avais initié la réflexion de la disparition de Forumactif il y a dix ans (cf le topic "Copie du Forum").
Car on est fortement dépendant de leur plateforme, et des aléas de gestion, comme cet exemple avec HTTPS. Payer pour faire implémenter un truc commun et par défaut sur la plupart des sites, ils sont assez forts....
Par dessus, on envisageait aussi bien les soucis de disparition d'internet (ou accès offline) que de blacklistage (par ex les abonnés d'Orange avaient perdu l'accès au forum à cause de la config DNS).

Du coup, la migration vers une plateforme s'envisage amha de deux manières :
- est-ce que l'on souhaite porter toutes les discussions sur un forum n°2 autogéré, afin que l'on puisse échanger de manière transparente (citer, éditer, fusionner, etc.) ? Donc il faut effectivement bidouiller les bases de données, mais cela semble être la solution la plus universelle pour les membres et les lecteurs.

- est-ce que l'on souhaite juste poursuivre les discussions sur une base pré-existante non-éditable ?
C'est à dire que l'on pourrait -en cas de perte du forum n°1- partir sur une plateforme n°2 autogérée, mais en considérant le premier comme figé dans une archive (ex : le forum archivé en .zip sur Oldu.fr) consultable par les membres ? Dans ce cas, c'est beaucoup plus simple, mais les internautes et les moteurs de recherche perdront au passage toutes les discussions du premier forum.

________________________________________________________
L'expérience est une lumière qui n'éclaire que ceux qu'elle a déjà brûlés. Cédric Dassas

Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France - 甩葱歌 - 古箏 - Distant Pulsar - Un Mauvais Fils - 25 Years of Zelda - Machinarium
tarsonis
tarsonis
Administrateur

Masculin Nombre de messages : 10770
Age : 38
Localisation : Grand Est
Loisirs : Trek, ethnobotanique, électronique DIY, nucléaire, médecine, post apo.
Date d'inscription : 21/05/2008

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par logan Lun 25 Mar 2019 - 9:11

tarsonis a écrit:porter toutes les discussions sur un forum n°2 autogéré ... cela semble être la solution la plus universelle

pareil, si c'est possible techniquement ca semble vraiment le mieux ..

après on peut toujours tenter, et se rabattre sur la solution 2 sinon.
logan
logan
Animateur

Masculin Nombre de messages : 2646
Localisation : France
Date d'inscription : 17/03/2008

http://oldu.fr/

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par nooneelse Mar 18 Juin 2019 - 11:10

Je me demandais si le sujet du https avait été abordé... Je ne suis pas déçu de ma recherche. Rajouté à cela l'aspect résilience au niveau données et gestion du forum ça donne de bonnes raisons d'essayer de trouver des alternatives.
Bien qu'à l'aise avec les ordis et ayant installé linux mint sur mon portable, je ne suis pas informaticien et mes connaissances au niveau réseaux, serveurs, langages de programmation sont inexistantes donc je ne serai pas utile sur ces aspects. Mais si je peux l'être d'autres façons, je suis partant.
nooneelse
nooneelse
Membre Premium

Masculin Nombre de messages : 555
Date d'inscription : 21/11/2015

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par tarsonis Dim 20 Oct 2019 - 19:34

Hello,
j'ai trouvé l'info sur IDS, HTTPS peut être activé gratuitement sur le forum depuis septembre.
Kraven ? Il semble que seul l'admin fondateur a accès à l'option clind'oeil
https://forum.forumactif.com/t390029-certificat-ssl-guide-d-un-passage-reussi-du-forum-en-https

________________________________________________________
L'expérience est une lumière qui n'éclaire que ceux qu'elle a déjà brûlés. Cédric Dassas

Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France - 甩葱歌 - 古箏 - Distant Pulsar - Un Mauvais Fils - 25 Years of Zelda - Machinarium
tarsonis
tarsonis
Administrateur

Masculin Nombre de messages : 10770
Age : 38
Localisation : Grand Est
Loisirs : Trek, ethnobotanique, électronique DIY, nucléaire, médecine, post apo.
Date d'inscription : 21/05/2008

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par albertspetz Dim 20 Oct 2019 - 20:44

Merci au site "IDS"
albertspetz
albertspetz
Membre Premium

Masculin Nombre de messages : 1883
Localisation : Sud Est
Date d'inscription : 14/06/2012

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par tarsonis Lun 21 Oct 2019 - 15:14

Merci Krav !
On est enfin en HTTPS !

________________________________________________________
L'expérience est une lumière qui n'éclaire que ceux qu'elle a déjà brûlés. Cédric Dassas

Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France - 甩葱歌 - 古箏 - Distant Pulsar - Un Mauvais Fils - 25 Years of Zelda - Machinarium
tarsonis
tarsonis
Administrateur

Masculin Nombre de messages : 10770
Age : 38
Localisation : Grand Est
Loisirs : Trek, ethnobotanique, électronique DIY, nucléaire, médecine, post apo.
Date d'inscription : 21/05/2008

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par logan Lun 21 Oct 2019 - 16:13

Super, merci !
logan
logan
Animateur

Masculin Nombre de messages : 2646
Localisation : France
Date d'inscription : 17/03/2008

http://oldu.fr/

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par nooneelse Sam 26 Oct 2019 - 17:40

Cool! Merci!
nooneelse
nooneelse
Membre Premium

Masculin Nombre de messages : 555
Date d'inscription : 21/11/2015

Revenir en haut Aller en bas

https - Absence d'HTTPS sur Forumactif : notions de sécurité informatique Empty Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par Contenu sponsorisé


Contenu sponsorisé


Revenir en haut Aller en bas

Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum