Le forum du site est maintenant disponible en HTTPs.
Comme expliqué sur la page Quand et Pourquoi crypter/chiffrer ses connexions, les données qui transitent sur Internet ne sont pas forcément cryptées.
Dès lors il est possible de récupérer des informations de connexions lorsque vous vous identifiez sur des site WEB non HTTPs, surtout si vous vous connectez depuis un lieu public : cybercafé, hôtel, wifi public etc.
La capture ci-dessous montre les connexions HTTP avec WireShark lorsque l’on se connecte au forum
Comme on peux le voir ci-dessous et comme expliqué plus haut, les données qui transitent sont en claires.
Le POST effectué par le navigateur WEB afin d’envoyer les informations de connexion lors du logging au forum sont accessibles avec le nom d’utilisateur et mot de passe (dans le cas d’une connexion automatique, on peux récupérer aussi le cookie d’authentification).
Via une connexion HTTPs, les données qui transitent ne sont plus en claires mais cryptées.
Le vol de données est alors plus difficiles à réaliser: http://fr.wikipedia.org/wiki/Hypertext_Transfer_Protocol#HTTPS
Le certificat utilisé est celui de StartSSL : https://www.startssl.com/
Firefox peut générer une alerte disant que toutes les connexions ne sont pas cryptées car certains liens ne sont pas en HTTPs (images etc).
Néanmoins les données du forum (authentification, messages lus/postés) sont cryptées.
Internet Explorer peut ouvrir un avertissement de sécurité :
Pour Internet Explorer :
* Vas dans les option internet , onglet securité puis icone internet
* clic sur personnaliser le niveau , puis dans Divers sur afficher un contenu mixte
* Cocher activer , appliquer et redémarrer internet explorer et le tour est joué.
Du coup c’est nul, du coup, je sais pas si je vais forcer le HTTPs :
Attention aux idées reçues aussi.
Le SSL ne signifie pas que le service et totalement sécurisé ou que l’on peut transmettre des données en toute sécurité, des sites d’hameçonnage peuvent très bien usité une connexion SSL, c’est du déjà vu.
Moi j’utilise l’extension FF « HTTPS Everywhere » de la FFF… et d’ailleurs, pourquoi seulement le forum ? 🙂 A quand le site ?