Site en HTTPS

Bonjour à tous,

Serait-il possible de passer le site en HTTPS ?
Car ce n'est pas terrible de se connecter en HTTP nos identifiants sont transmis en clair.

y a une grosse différence entre les 2 ?

on y gagnerait ?

V..........

HTTPS est HTTP Sécurisé.
A voir avec l'administrateur mais ce forum est bâti sur un modèle standard (forum actif), ce modèle a t il une version HTTPS je n'ensais fichtrement rien. Une réponse ici, à méditer Forum HTTPS

peu de risque avec un forum en HTTP, vu qu'il n'y a pas d'information confidentiel/de valeur dedans, on y tape pas notre numero de carte bancaire par exemple

Merci pour le lien, Charles.  


"Le fonctionnement des forums de discussion impose aux utilisateurs de s'inscrire en renseignant un nom d'utilisateur et un mot de passe. Sur les forums en HTTP, la collecte de ces informations sensibles peut être considérée comme potentiellement non sécurisée sur les navigateurs récents. Les internautes peuvent voir des avertissements de sécurité sur les pages en HTTP qui affichent un formulaire de connexion :

   Google Chrome affiche une alerte "Non sécurisé" sur les pages affichant un formulaire de connexion.
   Mozilla Firefox affiche un cadenas cassé avec une alerte en cas d'authentification non sécurisée, ...

Malgré tout, ces données sensibles sont correctement protégées sur tous les forums, en HTTP comme en HTTPS. Forumactif veille à la sécurité des forums gratuits depuis plus de 12 ans maintenant. Il n'est donc pas obligatoire d'avoir un forum d'avantage sécurisé via un certificat SSL. "



" Les inconvénients d’un passage en HTTPS :

   Une mise à jour des liens à faire : pour avoir un label "Sécurisé" en vert, TOUTES les ressources disponibles sur une page doivent être appelées en HTTPS. Dans le cas du contenu mixte (page HTTPS avec images ou scripts appelés en HTTP par exemple), le label "Sécurisé" en vert ne sera pas affiché sur Google Chrome. D’autres navigateurs peuvent afficher une alerte.
   SEO : passer de HTTP à HTTPS équivaut à une migration avec changement de domaine pour les moteurs de recherche. De manière générale, une migration prend toujours du temps et peut entraîner des pertes de positions dans les résultats de Google de façon temporaire.
   Réinitialisation des compteurs de partages sociaux : Lorsque vous migrez votre forum HTTP vers HTTPS, vos compteurs de partages sociaux vont tous être remis à zéro : likes, tweets, +1.

N’oubliez pas qu’il n’y a pas que Google Chrome, même s’il s’agit du navigateur le plus utilisé en 2016. Prenez donc soin de vous informer sur les autres navigateurs (alerte visuelle, compatibilité) et notamment sur Firefox (Lire cet article sur le support Mozilla).
   Beaucoup de systèmes d'exploitation qui ne sont plus supportés par Microsoft ont des soucis d'accès à certaines ressources https. Pour que ces utilisateurs puissent continuer à naviguer normalement nous remplaçons de façon transparente l'utilisation de certaines ressources https par leur équivalant http.
   Les services concernés sont : les avatars, les smilies, les composants des thèmes hitskin, illiweb, servimg, la galerie, les fichiers joints...
   Si vous utilisez Windows 98 ou Windows 2000 ne soyez donc pas étonné qu'une image postée en https apparaissent chez vous en http. "

Je suis d'accord qu'il n'y a pas vraiment d'infos confidentielles comme des coordonnées bancaires mais le fait de se connecter en clair permet à un attaquant de récupérer facilement un login/mot de passe.
Sachant que la plupart des gens utilise le même mot de passe partout, l'attaquant pourrait se connecter sur d'autres sites plus critiques que le forum.
Et imaginons qu'un attaquant vole le compte d'un admin, il pourrait par exemple détruire le forum.
La migration vers https ne me paraît pas très lourde.

Bonjour, ce n'est pas parceque le forum est en HTTP, que tes identifiants transitent en clair pour autant.
Je ne connais d'ailleurs pas de cas de piratage sur tous les forums que j'ai administrés ni même chez Forum Actif.

Passer en HTTPS est une opération lourde, surtout que pour être valable il faut que tous les liens, images, contenus et autres soient en HTTPS.

Ce n'est donc pas à l'ordre du jour sur ce forum, mais tu peux dormir sur tes deux oreilles, tes identifiants resterons bien secrets (ils ne passent pas en clair dans les trames).

Tu peux m'en dire plus sur le faits que mes identifiants ne passent pas en clair en http ? Forumactif implémente une couche de chiffrement au dessus de http ?

J'ai fait une capture réseau et je vois bien identifiants en clair :

OK, n'hésite pas à les contacter directement alors pour voir cela avec eux.

c'est vrai qu'un wireshark au niveau du serveur et tous les mots de passe seront lus ...
bon, bon, ne mettez pas le même que celui d'accès à votre compte en banque

Les contacter pour qu'ils me disent quoi ? Que http c'est en clair et https c'est chiffré ?!
Enfin bref faites comme vous voulez c'était juste pour que chacun prenne conscience des risques.

frantz45 a écrit:Les contacter pour qu'ils me disent quoi ? Que http c'est en clair et https c'est chiffré ?!
Enfin bref faites comme vous voulez c'était juste pour que chacun prenne conscience des risques.

+1

Après pour limiter les risques le mieux c'est d'utiliser un mot de passe fort différents des autres sites (couplé à un coffre fort de mot de passe c'est encore mieux).

Si vous faites ça (ce que je vous conseille même pour les sites en HTTPS), y a pas plus de risques que ca ça en effet pas de donnée sensible sauf si vous décidez d'en partager.

D'autre part pour HTTPS au delà de la complexité de mise en œuvre c'est également le coût des certificats.
Par an un certificat HTTPS ça vaut minimum 800€ (si mes souvenirs sont bons). C'est a prendre en considération surtout si vous fournissez un service gratuit.

Envoyé depuis l'appli Topic'it

MooseTache a écrit:Après pour limiter les risques le mieux c'est d'utiliser un mot de passe fort différents des autres sites (couplé à un coffre fort de mot de passe c'est encore mieux).

Si vous faites ça (ce que je vous conseille même pour les sites en HTTPS), y a pas plus de risques que ca ça en effet pas de donnée sensible sauf si vous décidez d'en partager.

D'autre part pour HTTPS au delà de la complexité de mise en œuvre c'est également le coût des certificats.
Par an un certificat HTTPS ça vaut minimum 800€ (si mes souvenirs sont bons). C'est a prendre en considération surtout si vous fournissez un service gratuit.

Envoyé depuis l'appli Topic'it

bonne idée....

t'aurais une préférence à me recommander ?

un en Français et gratuit tant qu'on y est ?

merci !

Bons conseils ! Jamais utiliser le même mot de passe en effet est la base de la sécurité. ;-)
Et ici franchement il n'y a pas grand chose à "pirater" (jamais vu un membre se plaindre de ça d'ailleurs).
Donc la gain qu'apporterai le HTTPS à ce forum est proportionnellement moins intéressant que le coup de mise en oeuvre.

Bonne journée.

pegase22 a écrit:

bonne idée....

t'aurais une préférence à me recommander ?

un en Français et gratuit tant qu'on y est ?

merci !

Moi j'utilise keepass. C'est pas le meilleurs ni le plus beau mais il est gratuit, sans limitations et est régulièrement mis à jour.
Ca fonctionne avec des fichiers que je synchronise avec Dropbox.
J'ai 2 coffres : 1 pour le boulot, 1 pour le perso.
Ces fichiers sont cryptés et protégés par un master password (qu'il ne faut pas oublier, sinon plus d'accès).

Après tu peux y accéder via l'application que tu installes sur ton ordi (cf le lien ci dessus) ou smartphone.

Après, ce qu'il faut faire c'est migrer les password au fur et à mesure de tes utilisations.
Tu te connectes tu changes ton password par celui généré par le soft.

Tada ...

MooseTache a écrit:D'autre part pour HTTPS au delà de la complexité de mise en œuvre c'est également le coût des certificats.
Par an un certificat HTTPS ça vaut minimum 800€ (si mes souvenirs sont bons). C'est a prendre en considération surtout si vous fournissez un service gratuit.

avec https://letsencrypt.org/ c'est gratuit, c'est d'ailleurs ce qui est de plus en plus utilisé par les sites gratuit pour proposer du https sans coût additionnel

après c'est a voir au niveau de forumactif et je pense pas qu'ils soient très réactif à ce niveau

C'est vrai, letsencrypt est une bonne alternative.
Mais il faut renouveler le certificat tous les 90 jours.
Après on est d'accord, un crontab et c'est réglé.
Encore faut-il que ForumActif permette ce genre de config (je connais pas comment ça s'administre, si on a accès au WebServer ou autre).

Tu as aussi celui la Pierrot ;

https://www.dashlane.com/fr en version gratuite.

Le problème de dashlane, c'est qu'avec la version gratuite, tu est limité sur le nombre de mot de passe : 50 en tout.
C'est vite limitant je trouve.

Oui 50 cest sur mais c'est pas mal.. Apres j'aime bien l'interface

Bozerman a écrit:Tu as aussi celui la Pierrot ;

https://www.dashlane.com/fr en version gratuite.

merci Eric, vais voir ça !

MooseTache a écrit:C'est vrai, letsencrypt est une bonne alternative.
Mais il faut renouveler le certificat tous les 90 jours.
Après on est d'accord, un crontab et c'est réglé.
Encore faut-il que ForumActif permette ce genre de config (je connais pas comment ça s'administre, si on a accès au WebServer ou autre).

generalement l'obtention du certificat letsencrypt est automatique a travers un script et son renouvellement aussi (ya tout un protocole de defini) c'est ce que synology utilise pour ses NAS professionnel et grand publique

BiLKiNiS a écrit:

MooseTache a écrit:C'est vrai, letsencrypt est une bonne alternative.
Mais il faut renouveler le certificat tous les 90 jours.
Après on est d'accord, un crontab et c'est réglé.
Encore faut-il que ForumActif permette ce genre de config (je connais pas comment ça s'administre, si on a accès au WebServer ou autre).

generalement l'obtention du certificat letsencrypt est automatique a travers un script et son renouvellement aussi (ya tout un protocole de defini) c'est ce que synology utilise pour ses NAS professionnel et grand publique

ça me parle "petit Chinois"

sur presque tout les fofo gratuit forum actif en autre le login est en claire
pas sure qu'on puisse faire mieux sans contrepartie ficnanciere

https et secure :/ tant qu'on te l'as fait pas a l'envers .. au milieu en fait et c'est si facile

un conseil c'est d'uliser un login/passwoprd dedié aux site fiablment securié au pire tu perd ton compte
mais pas de vol de mot de passe plus sensible

pegase22 a écrit:.............................. ça me parle "petit Chinois"

Ah ces jeunes, ils ont vite fait de nous dépasser......