Version HTTPS du forum

Répondre
Partager Rechercher
Citation :
Publié par Caniveau Royal
Pour en faire quoi ?
Sécuriser les urls de connexion ? Enfin, tu sais, le minimum requis en terme de sécurité quand y a des mots de passes impliqués ?
Citation :
Publié par Caniveau Royal
Pour en faire quoi ?
Ne pas avoir de login / mot de passes qui transitent en clair.
Ne pas pouvoir etre mitm par son ISP.

Enfin en matiere de securite la question a se poser serait plutot "Pourquoi pas". Et autant, les certificats SSL pouvaient representer un cout, autant maintenant c'est gratuit.
Citation :
Publié par Caniveau Royal
C'est bon, c'est que JoL, un forum.
L'immense majorite des gens reutilise le meme mot de passe partout. Et oui il y a des open wifi qui recuperent ce genre de traffic pour en extraire les mdp, etc.
Citation :
Publié par Corten
Bonjour,

pourquoi n'y a-t-il pas de version https de ce forum ?

Merci.
C'est effectivement quelque chose que je dois faire (c'est devenu beaucoup plus facilement gérable - et moins cher - avec des solutions comme Let's Encrypt) et ça arrivera assurément. Pourquoi ce n'est pas en place ? Par manque de temps. Il y a également beaucoup d'autres développements/améliorations à réaliser pour JOL et je ne sais pas encore quand je pourrai m'atteler à la migration HTTPS mais ça viendra.
Si y'a en sus d'avoir l'option https en option ca pourrais roxxer, car sur certains accès internet y'a injonction de certificats auto signés qui posent problème sur les connexion https.

(pour justement déchiffrer le https en mim) (anti virus, firewall, employeur , ...)

NXI ont fait ça assez bien par exemple:
http://www.nextinpact.com/
Bonsoir,
je voudrais remonter ce topic.

Si nous pouvions au moins avoir la possibilité d'utiliser l'https si on le souhaite serait déjà très bien.

Merci.
Je n'avais pas vu passer ceci, mais ce serait effectivement une idée bienvenue.

Citation :
Publié par Harest
Un petit up du passage en https dans la liste des priorités ? C'est vraiment pas bien long à mettre en place en plus.
Là c'est méconnaître les implications et contraintes du https.
Un exemple étant que pour respecter les standard, toutes les éléments d'une page web sécurisée doivent êtres servis en https. Sinon ils sont refusés, explicitement ou en silence.
Donc autant ce peut être "rapide" pour un petit serveur unique (et encore, ça se discute), autant ça devient autre chose dans une architecture utilisant plusieurs serveurs http et domaines/sous-domaines tel que jol.
En plus du coût, quand tu veux des certificats en wildcard pour ne pas trop te prendre la tête avec les sous-domaines.
Citation :
Publié par Sadyre
Là c'est méconnaître les implications et contraintes du https.
Un exemple étant que pour respecter les standard, toutes les éléments d'une page web sécurisée doivent êtres servis en https. Sinon ils sont refusés, explicitement ou en silence.
Donc autant ce peut être "rapide" pour un petit serveur unique (et encore, ça se discute), autant ça devient autre chose dans une architecture utilisant plusieurs serveurs http et domaines/sous-domaines tel que jol.
En plus du coût, quand tu veux des certificats en wildcard pour ne pas trop te prendre la tête avec les sous-domaines.
Non non, j'ai mis du https sur plusieurs serveurs dédiés et je sais exactement comment ça fonctionne. Alors après oui pour les images que les utilisateurs mettent par exemple on pourra difficilement y faire grand chose.
Et pareil, 50 sous-domaines ou pas, ça allonge juste un peu le temps mais pas plus d'une heure ou 2 à màj la conf nginx. Bon après, JoL est encore sous Apache .
Et le coût ? Avec Let's Encrypt par exemple ? Ben c'est simple, c'est gratuit. Et avant ça c'était aussi gratuit (avec StartSSL par exemple mais ils ont des soucis depuis quelques mois suite au rachat de WoSign).
Citation :
Publié par Sadyre
Je n'avais pas vu passer ceci, mais ce serait effectivement une idée bienvenue.


Là c'est méconnaître les implications et contraintes du https.
Un exemple étant que pour respecter les standard, toutes les éléments d'une page web sécurisée doivent êtres servis en https. Sinon ils sont refusés, explicitement ou en silence.
Donc autant ce peut être "rapide" pour un petit serveur unique (et encore, ça se discute), autant ça devient autre chose dans une architecture utilisant plusieurs serveurs http et domaines/sous-domaines tel que jol.
En plus du coût, quand tu veux des certificats en wildcard pour ne pas trop te prendre la tête avec les sous-domaines.
ce ne sont pas de tres bons argument. c'est tres rapide d'obtenir des certificats desormais. moins de 5 minutes en comptant le temps d'install de let's encrypt.

En revanche, la ou je te rejoins c'est sur le point que TOUT doit etre charge en HTTPS, y compris les pubs. et c'est souvent ce point qui pose souci. https = perte de certaines regies = perte de $$$
Effectivement oui pour les régies j'ai déjà entendu ça comme argument. Plus précisément :
Citation :
We are an ad-supported website, and HTTPS would result in lower advertising revenue. I read a report a few weeks ago that it is a 7% hit to revenue. I would prefer not to have to fire somebody over moving to HTTPS.
Je ne sais pas après quel pourcentage ça concernerait pour la pub française.
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés