Crunchez vos adresses URL
|
Rejoignez notre discord
|
Hébergez vos photos
Affichage des résultats 1 à 10 sur 10

Discussion: SSL sur le forum

  1. #1
    On reçoit parfois quelques questions sur le SSL (ou plutôt l'absence de SSL) sur le forum, comme celle-ci :

    Citation Envoyé par gbip Voir le message
    Bonjour,

    C'est envisageable de mettre en place un certificat pour la connexion en https au forum ?

    C'est le genre de trucs qui prends 10 minutes avec nginx sur un serveur.

    Pour le certificat, afin de ne pas payer vous pouvez utiliser Let's Encrypt avec certbot.

    Merci d'avance pour votre réponse
    La mise en place d'un certificat sur le forum n'est pas prévue dans l'immédiat et c'est un choix volontaire. En pratique, il ne suffit pas de lancer simplement certbot pour obtenir quelque chose de satisfaisant (comme on le fait d'ailleurs sur la quasi totalité des autres domaines/services de CPC).

    Pourquoi ? Parce que depuis 10 ans, nous avons choisi de ne pas héberger les images externes en local mais de laisser les utilisateur intégrer des liens externes. Très peu d'entre eux sont en HTTPS. En pratique, la plupart des pages affichées auraient donc un SSL pété, vu que l'intégralité de la page ne serait pas en HTTPS. C'est généralement symbolisé par un cadenas barré dans la barre d'adresse. Certains navigateurs ne font pas trop chier, d'autres considèrent la page comme si elle n'était pas en SSL, d'autres encore affichent un message anxiogène d'avertissement qui aurait un effet contre-productif sur la plupart des utilisateurs néophytes. Aujourd'hui, mieux vaut parfois ne pas mettre de SSL que mettre du SSL pété.

    Une solution propre pourrait être d'éditer les centaines de milliers de liens déjà publiés, et de ne plus autoriser que les liens https par la suite. Mais ça, ça prend nettement plus de 10 minutes.

    Certains se diront peut-être "Oui mais mais mais en 2017, pas de ssl, houlala, mon mot de passe risque d'être compromis !!!". Bullshit. Il faut bien comprendre que tout l'engouement depuis environ un an sur le passage au tout SSL n'est pas du tout dicté par de nobles aspects de sécurité. Le SSL existe depuis le siècle dernier et jusqu'en 2015/2016, la plupart des sites s'en foutaient pas mal. Si tout le monde veut son certificat aujourd'hui, c'est surtout à cause d'un changement au niveau du SEO (optimisation publicitaire pour les moteurs de recherche). Google ayant décidé de favoriser récemment les sites en SSL dans son classement. Pas de SSL = moins de pubs, donc tout le monde veut du SSL. Dans l'absolu, c'est un changement vertueux mais peu significatif en matière de sécurité.

    L'écrasante majorité des leaks massifs de données (mot de passe et autres) proviennent de hack des serveurs en eux même et certainement pas d'une interception dans la liaison client <-> serveur. En bref, la plupart des sites installent aujourd'hui des certificat SSL pour conserver leur classement Google tout en expliquant à leurs utilisateurs que "c'est pour la sécurité de leurs données". Tout cela en ne faisant aucun effort sur ce qui compte vraiment, c'est à dire la sécurité des serveurs, des bases de données, etc. Bref.

    Votre mot de passe est-il compromis par l'absence d'un certificat SSL sur le forum de Canardpc ? En pratique non. SSL chiffre la connexion entre votre navigateur et le serveur du forum. Sans SSL, un mot de passe transmis en clair pourrait donc être intercepté par une attaque MITM (un espion qui intercepterait la communication entre les deux). Oui mais voilà : lorsque vous tapez votre mot de passe sur le forum, celui-ci est hashé en local via un javascript avant d'être transmis au serveur. SSL ou pas, votre mot de passe ne transite jamais en clair. Il demeure toutefois exact qu'un espion qui parviendrait à mettre en place une attaque MITM sur votre connexion pourrait récupérer le hash et ainsi gagner l’accès à votre compte sur le forum sans connaitre le mot de passe. Mais si quelqu'un est vraiment prêt à aller jusque là pour vous hacker, ce n'est pas un certificat SSL Let's Encrypt qui l'arrêtera. Sans compter qu'à sa première connexion, il se fera probablement spotter par d'autres mécanismes du forum qu'on utilise pour détecter les multis par exemple.

    En conclusion, on réfléchit tout de même à la façon dont on pourrait implémenter SSL à l'avenir sur le forum (soit via une nouvelle gestion des liens images externes avec correction des existants, soit uniquement sur certaines pages type login) mais pour les raisons évoquées ci-dessus, ça ne nous parait pas une priorité pour l'instant sur le forum. Nos ressources sont limitées et on se concentre pour le moment sur le site (SSL Only, lui).

    En espérant avoir pu répondre aux principales questions.

  2. #2
    Citation Envoyé par Doc TB Voir le message
    On reçoit parfois quelques questions sur le SSL (ou plutôt l'absence de SSL) sur le forum, comme celle-ci :



    La mise en place d'un certificat sur le forum n'est pas prévue dans l'immédiat et c'est un choix volontaire. En pratique, il ne suffit pas de lancer simplement certbot pour obtenir quelque chose de satisfaisant (comme on le fait d'ailleurs sur la quasi totalité des autres domaines/services de CPC).

    Pourquoi ? Parce que depuis 10 ans, nous avons choisi de ne pas héberger les images externes en local mais de laisser les utilisateur intégrer des liens externes. Très peu d'entre eux sont en HTTPS. En pratique, la plupart des pages affichées auraient donc un SSL pété, vu que l'intégralité de la page ne serait pas en HTTPS. C'est généralement symbolisé par un cadenas barré dans la barre d'adresse. Certains navigateurs ne font pas trop chier, d'autres considèrent la page comme si elle n'était pas en SSL, d'autres encore affichent un message anxiogène d'avertissement qui aurait un effet contre-productif sur la plupart des utilisateurs néophytes. Aujourd'hui, mieux vaut parfois ne pas mettre de SSL que mettre du SSL pété.

    Une solution propre pourrait être d'éditer les centaines de milliers de liens déjà publiés, et de ne plus autoriser que les liens https par la suite. Mais ça, ça prend nettement plus de 10 minutes.

    Certains se diront peut-être "Oui mais mais mais en 2017, pas de ssl, houlala, mon mot de passe risque d'être compromis !!!". Bullshit. Il faut bien comprendre que tout l'engouement depuis environ un an sur le passage au tout SSL n'est pas du tout dicté par de nobles aspects de sécurité. Le SSL existe depuis le siècle dernier et jusqu'en 2015/2016, la plupart des sites s'en foutaient pas mal. Si tout le monde veut son certificat aujourd'hui, c'est surtout à cause d'un changement au niveau du SEO (optimisation publicitaire pour les moteurs de recherche). Google ayant décidé de favoriser récemment les sites en SSL dans son classement. Pas de SSL = moins de pubs, donc tout le monde veut du SSL. Dans l'absolu, c'est un changement vertueux mais peu significatif en matière de sécurité.

    L'écrasante majorité des leaks massifs de données (mot de passe et autres) proviennent de hack des serveurs en eux même et certainement pas d'une interception dans la liaison client <-> serveur. En bref, la plupart des sites installent aujourd'hui des certificat SSL pour conserver leur classement Google tout en expliquant à leurs utilisateurs que "c'est pour la sécurité de leurs données". Tout cela en ne faisant aucun effort sur ce qui compte vraiment, c'est à dire la sécurité des serveurs, des bases de données, etc. Bref.

    Votre mot de passe est-il compromis par l'absence d'un certificat SSL sur le forum de Canardpc ? En pratique non. SSL chiffre la connexion entre votre navigateur et le serveur du forum. Sans SSL, un mot de passe transmis en clair pourrait donc être intercepté par une attaque MITM (un espion qui intercepterait la communication entre les deux). Oui mais voilà : lorsque vous tapez votre mot de passe sur le forum, celui-ci est hashé en local via un javascript avant d'être transmis au serveur. SSL ou pas, votre mot de passe ne transite jamais en clair. Il demeure toutefois exact qu'un espion qui parviendrait à mettre en place une attaque MITM sur votre connexion pourrait récupérer le hash et ainsi gagner l’accès à votre compte sur le forum sans connaitre le mot de passe. Mais si quelqu'un est vraiment prêt à aller jusque là pour vous hacker, ce n'est pas un certificat SSL Let's Encrypt qui l'arrêtera. Sans compter qu'à sa première connexion, il se fera probablement spotter par d'autres mécanismes du forum qu'on utilise pour détecter les multis par exemple.

    En conclusion, on réfléchit tout de même à la façon dont on pourrait implémenter SSL à l'avenir sur le forum (soit via une nouvelle gestion des liens images externes avec correction des existants, soit uniquement sur certaines pages type login) mais pour les raisons évoquées ci-dessus, ça ne nous parait pas une priorité pour l'instant sur le forum. Nos ressources sont limitées et on se concentre pour le moment sur le site (SSL Only, lui).

    En espérant avoir pu répondre aux principales questions.
    Bonjour Doc !
    Merci de ta réponse très détaillée, c'était très intéressant à lire !
    Le côté "l'envers de l’engouement pour le SSL" est rarement dis.
    Le coup du hash en JS c'est pas mal effectivement, ça résous un peu les problèmes avec le mot de passe qui transite en clair.
    Encore merci pour la réponse

  3. #3
    Les browseurs étant désormais moins fasciste sur le mixed-content (mélange de http/https), j'ai mis en place un certificat SSL sur le forum (https://forum.canardpc.com) et corrigé une bonne partie des liens absolus.

    C'est tout à fait expérimental pour le moment. Il doit rester un paquet de problème un peu partout. Si vous en rencontrez (autre que les warning pour mixed-content sur des images externes), postez ici.

  4. #4
    Je sais pas si ça a un lien avec les opérations en cours mais je fais face un souci bien embêtant pour consulter le forum.
    Après voir lu les derniers messages d'un topic, à mon retour dans le tableau de bord plusieurs topics qui étaient aussi en attente de lecture ont disparu car considérés comme lus.
    Et ça se reproduit continuellement depuis 2 jours sans que je comprenne d'où ça vient. De plus, il y a eu plusieurs topics auxquels j'ai été automatiquement désabonné sans avoir rien fait et qu'il m'a fallu retrouver manuellement.

    Pour info, j'utilise FF 57.0.2 Est-ce que cela pourrait avoir un rapport avec des plugins tels que Privacy Badger ou HTTPS Everywhere ?

    Edit : HTTPS Everywhere pose bien un souci, ne serait-ce qu'au niveau de la rédaction des messages puisque chez moi ça bloque l'affichage de toutes les icones de mise en page ou l'insertion de smiley. Mais je l'avais viré pour tester et le problème ci-dessus était pourtant toujours bien présent.

    Edit 2 : j'ai aussi des déco régulières du forum , même sans avoir quitté FF ou la page.
    Dernière modification par Pinkipou ; 26/12/2017 à 12h35.

  5. #5
    C'est tout le problème d'avoir un système hybride HTTP/HTTPS. :-/ J'hésite à forcer le HTTPS partout, parce que c'est un nid à emmerde potentiel pour un avantage quasi-nul, mais bon...

  6. #6
    Sous FF, hormis en mode sans échec, la consultation du forum en https me pose toujours les soucis indiqués plus haut, même en virant tous les plugins.
    En attendant de trouver une solution pérenne, j'ai basculé sous Chrome sans aucun plugin et là plus aucun problème en https.

  7. #7
    Coin,

    Il semblerait que le lien vers le forum de la page principale ( https://www.canardpc.com/ ) ne pointe pas vers l'adresse préfixée d'HTTPS. Et évidemment les navigateurs indiquent donc un joli "Not secure".
    Je ne vois pas l'inconvénient qu'il pourrait y avoir à modifier cela, puisque le certificat du forum est tout à fait valide et https://forum.canardpc.com marche très bien.
    Minecraft : Kiwyh | XBL : ColdCrawdad7 | Guild Wars 2, PlanetSide 2 : Kyrhal.8750.

  8. #8
    Coin, en voulant accéder au site depuis un navigateur sur PC j'obtiens un message d'erreur :
    PDOException:SQLSTATE[HY000] [2002] Connection refused in Drupal\Component\DependencyInjection\PhpArrayConta iner->createService() (line 79 of /home/cpc/core/lib/Drupal/Component/DependencyInjection/PhpArrayContainer.php).

    Essais réalisés avec Chrome et OperaGX. Pas de soucis d'accès avec la version Android de Chrome.

  9. #9
    Ce topic est là pour le forum, mais oui, le site est down.

  10. #10
    Citation Envoyé par Doc TB Voir le message
    Certains se diront peut-être "Oui mais mais mais en 2017, pas de ssl, houlala, mon mot de passe risque d'être compromis !!!". Bullshit.
    Ce que tu dis sur les motivations de la vague SSL et le SEO est intéressant. Personne n'en parle, effectivement.
    Cela dit, s'il a fallu une telle mesure pour motiver les webmasters, je dirais que c'est un mal pour un bien.

    Citation Envoyé par Doc TB Voir le message
    […] lorsque vous tapez votre mot de passe sur le forum, celui-ci est hashé en local via un javascript avant d'être transmis au serveur.
    C'est une très bonne chose. Je suppose que très peu de sites prennent cette peine.

    En revanche, la compromission du mot de passe n'est pas la seule menace.
    Un intermédiaire malicieux (routeur local piraté, wifi publique) pourrait aussi modifier/injecter du JS à l'aller.
    Pour peu qu'il connaisse une faille pour s'évader de la sandbox JS il peut ensuite pousser son attaque plus loin.

    Et dire que jusqu'à il y a peu des sites comme Allociné n'avaient pas de chiffrement.
    Hors de question de laisser JS activé dans ce mode.

    On a peu de chance d'être la cible de pirates aussi sophistiqué.
    Mais c'est une habitude sanitaire numérique à acquérir plus tôt que tard.

    Enfin, maintenant c'est bon pour vous.

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •