Acces sécurisé sur un Webmail

WRInaute impliqué
bonjour :)

j'aurais aimé avoir l'avis de personnes qui se sont déjà intéressées à SSL/TLS.

Je suis actuellement en train de réaliser un webmail et je suis en train de réfléchir sur le fait de le sécuriser ou pas en SSL.
Par exemple si on regarde Gmail ou hotmail on voit que la sécurisation ne se fait qu'a la connexion, après quand on consulte les emails ce n'est donc plus sécurisé à priori.
Quoique en fait je n'ai pas vérifié la partie ajax qui va chercher les mails...

Mais bon j'en viens à ma question.

Que pensez-vous de la sécurité sur les webmail? qu'elqu'un pourrait me donner un conseil? avantages/désavantages?

Merci
 
WRInaute passionné
TLS (anciennement SSL) ne sécurise pas uniquement, il crypte aussi (je dirais même surtout !)

Tout dépends du niveau de confidentialité et de sécurisation souhaité qui est fonction de la "sensibilité" des données circulant dans les mails.

Mais, comme dirait l'autre, "ça mange pas de pain !", alors autant en profiter :wink: et puis, je ne vois aucun "désavantage" comme tu dis.
 
WRInaute impliqué
bin le truc c'est que je ne comprend pas pourquoi hotmail par exemple ne l'utilise que pour la connexion mais pas pour la lecture des mails...

quand tu cliques sur un mail j'imagine que ca met a jour avec de l'ajax. J'ai sniffé les paquets et aucun signe de mon mail affiché en clair dans la transmission...
Je me demande si ca n'est pas chiffré avec un autre procédé...

[edit] pour répondre à ta question je souhaite avoir un très haut niveau de sécurité. Que ce soit sur la lecture du mail ou le telechargement des pieces jointes je ne souhaite pas que ce soit sniffable
 
WRInaute impliqué
Bon bin finalement je regardais au mauvais endroit. Je peux maintenant l'affirmer, il suffit d'avoir un sniffer pour lire les mails quand quelqu'un consulte hotmail...

Donc voila mon ssl est installé et en effet pas de desavantage à l'orizon, a moins que quelqu'un me contredise :mrgreen:
 
WRInaute passionné
Tu ne peux pas "vraiment" sécuriser un webmail à partir du moment où tu autorises l'affichage des images (en html). Si tu devs ton webmail avec FF, tu n'auras pas spécialement, d'alerte, avec IE tu auras le joyeux "une partie du contenu n'est pas chiffré" (comme si tu mettais des ads sur un hébergement ssl). Tu peux en revanche utiliser un petit "proxy images" (github.com/webs/imagecache) qui pourrait te permettre de vraiment crypter les mails en autorisant l'affichage des images sans faire peur aux utilisateurs d'IE.
Tu peux aussi regarder du côté de mcrypt si tu devs en php qui pourrait te permettre de faire des bons trucs.
 
Discussions similaires
Haut