De la nécessité réel du ssl pour un site web ?

Discussion dans 'Administration d'un site Web' créé par Alorsladaccord, 4 Mai 2015.

  1. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    Bonjour,

    Pour un site internet qui ne réalise aucune transaction, uniquement du contenu avec un accès membres pour ceux qui veulent poster des commentaires, le tout sur une thématique pas particulièrement polémique, pensez-vous que le SSL pour l'authentification soit réellement nécessaire :?:

    Et l'est-il plus ou pas davantage si on se connecte ordinairement depuis une bibliothèque :?:


    Merci d'avance
     
  2. finstreet
    finstreet WRInaute accro
    Inscrit:
    10 Juillet 2005
    Messages:
    13 473
    J'aime reçus:
    2
    Franchement ca sert à rien... pour te donner un ordre de priorité. Google a donné une date précise pour passer au mobile... pour le SSL... bah Google a juste dit qu'il ne prendrait en compte.
     
  3. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    Salut finstreet,

    J'ai lu quelques trucs concernant google et ses rapports avec le ssl.
    Ceci dit, ma question ne concerne pas le référencement mais seulement la sécurité.
     
  4. finstreet
    finstreet WRInaute accro
    Inscrit:
    10 Juillet 2005
    Messages:
    13 473
    J'aime reçus:
    2
    Bah le SSL niveau sécurité c'est quand même toujours mieux
     
  5. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    Les vrais atteintes a la sécurité se contrefichent du SSL c'est juste un peut de temps machine en plus. La sécurité de tous les jours c'est un système propre a jour et ça concerne les bidouilleurs du dimanche.

    Autrement formulé si tu veux te protéger des culcul du net met ton truc a jour si tu veux de protéger de la NSA ton certificat SSL te servira a rien.
     
  6. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    Genre je suis dans une bibliothèque municipale avec accès filaire, personne ne peut intercepter mes identifiants en sortie ?

    Des fois que quelqu'un n'ait que ça à faire.
     
  7. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 906
    J'aime reçus:
    14
    si, il me semble que dans les lieux publiques tu as des risques d'être sniffé. Mieux vaut donc éviter de te connecter sur ton compte administrateur dans les lieux privés si ce n’est pas en https.
    Dans ton cas le vol d'un compte membre serait pas dramatique. Mais c’est toujours bon de bien indiquer aux membres qu'ils ne doivent jamais utiliser les mêmes mot de passe partout ou ils vont.

    C'est la seule raison qui me ferait peut être passé au https. Surtout qu'on se connecte de plus en plus dans des lieux publiques.

    Je crois que c’est en plus pas très difficile de sniffer le réseau. Avec un logiciel tu récupère les paquets qui circulent sur le réseau.

    https://www.google.fr/?gws_rd=ssl#newwindow=1&safe=off&q=sniffer+wifi

    A confirmer.
     
  8. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    Et tu va décoder (même si c'est en clair c'est pas super lisible) un million de paquets TCP IP des fois que par hasard un gars ai touché une page login ? ...
    Si t'en est a vouloir un mdp il y a plus simple.
     
  9. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    Le lien de noren concerne le trafic wifi, j'ai parlé du trafic filaire, par câbles quoi.
     
  10. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    Dans le principe la technique présenté par Noren est valable aussi en filaire. Et Noren te donne, à juste titre, un exemple parlant de zone a risque ce qui comprend une connexion non filaire. Ce qu'il met en avant peut être valable aussi sur des réseaux filaires avec de nombreuses machine (genre réseau d'entreprise ou de fac)
     
  11. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Roh... mais as-tu essayé ne serait-ce qu'une seule fois ?

    Il y a des outils parfaitements adaptés pour ça, qui font le tri tous seuls. Ça sait parfaitement identifier les paquets contenant les identifiants HTTP (= de type “htpasswd”) ou les soumissions de formulaire contenant un champ “password”, “pass” etc.

    Bref, t'as rien à «décoder» à la main, tu laisses tourner ce type d'outil 1 heure, tu reviens après et t'as toute une liste d'accès pour t'amuser à pourrir la vie des gens.
     
  12. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    De renifler et de "décoder ce qui transite" (comprendre > lire et comprendre) oui, mais suis pas un kiddie, je vais pas installer un soft pour cela ...
    Et la même fonctionnalité en https elle va arriver quand ? dans qques années quand la puissance de calcul aura quadruplée ? Si c'est pas déjà dispo...
     
  13. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Ok, donc on est d'accord que tu ne sais pas du tout de quoi tu parles ?

    Les ciphers SSL évoluent régulièrement, et les navigateurs refusent progressivement les vieux ciphers obsolètes. C'est ce qui fait entre autre qu'IE6 se fait refouler sur beaucoup de services SSL.

    Même pour la NSA, “déchiffrer” du SSL est complexe. À la place ils vont préférer faire du “Man In The Middle” en usurpant l'identité du serveur d'origine (via une “Autorité de Confiance” compromise), tenter de voler les clés de déchiffrement par un autre biais, ou enfin réduire le niveau de chiffrement. Il y a de nombreux articles techniques là dessus, je t'invite à commencer par Linuxfr.org.
    Bref actuellement le problème du SSL/TLS, c'est le réseau de CA, ou parfois l'implémantation, pas le niveau de chiffrement.
     
  14. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    On est surtout d'accord sur le fait que si je met le SSL destiné au web a la poubelle de façon certainement exagérée tu met tout dans le même sac de la même façon.
    Entre se baser sur des pratiques qui datent et qui ont donc évolué et ne pas savoir de quoi on parle il y a de la marge :wink:

    Après, pour le fond (qui est la vrai question), tu semble me rejoindre sur un point qui est que pour outrepasser cette relative sécurité il y a d'autres moyens plus faciles.
     
  15. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 906
    J'aime reçus:
    14
    @zeb : ahma les sniffer sont ce qu'il y a de plus simple pour tous ceux souhaitent chopper des données confidentielles de façon massive. Tu te met dans des lieux publics (mc do,etc.) et tu te gaves. Pour les autres solutions, il y a d'autres protections.

    Le soucis, comme je le disais plus haut, c’est qu'on est de de plus en plus dans un monde où tout est connecté et interconnecté. les espaces de connexions publiques sont de plus en plus nombreux. Et qui sait, peut être qu'un jour on aura plus besoin de box chez nous.
    Quoi qu'il en soit même si je ne souhaite pas encore passer le cap du https (pour des raisons techniques etc.), en terme de sécurité il se justifie quoi qu'on en dise. En tout cas pour tous ceux ayant un espace membre, ou même un simple espace d'administration.

    Après les sites lambda ne demandant aucune info ultra confidentielle, n'ont pas besoin forcément d'un tel niveau de difficulté. même si...

    D'après ce que j'ai pu lire il y a même des outils pour décrypter les cle wep etc. Donc une personne peut très bien en se mettant à l’extérieur de chez toi s’infiltrer dans ton réseau wifi. Certes c'est peut être d'un niveau supérieur mais bon. Et il faudrait que tu n'es vraiment pas de chance ou que quelqu'un t'en veut particulièrement.
     
  16. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Les réseaux WEP sont régulièrement craqués oui, c'est pour ça qu'ils sont très fortement déconseillés.
     
  17. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 906
    J'aime reçus:
    14
    C’est pas nous qui décidons le type de la clé sur nos box si?
    Les box récentes sont elles plus sécurisées?
     
  18. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Je ne connais pas les box des différents FAI. Je sais que chez Free on a le choix, et que c'est plutôt sécurisé (WPA / AES), pour les autres, je ne sais pas. Dans mon voisinage je vois de moins en moins de WEP, mais il en reste.
     
  19. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 906
    J'aime reçus:
    14
    ah j'avouerais que je sais même pas où l'on voit si c’est wep ou wpa :mrgreen:

    PS ; ah non c’est bon je suis allé voir ça dans la box et c’est bien du WPA
     
  20. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    Pour préciser vos débats, que pensez-vous de ce cas :

    Une connexion non cryptée depuis la Bibliothèque nationale de France présente-t'elle un risque ? Je précise que c'est un accès filaire.

    Et il y a deux types de connexion possible :

    Son propre ordinateur ou alors les postes fixes préinstallés.
     
  21. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Lance un outil comme wireshark et tu seras vite fixé. Si tu vois autre chose que ton propre trafic, c'est que le risque est très élevé.
     
  22. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    D'une manière générale se connecter depuis une machine qui n'est pas la tienne c'est prendre un risque surtout si tu ne sais pas comment la machine gère tes datas perso (sans même parler de l'état de santé de la dite machine).
     
  23. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0

    On ne peut lancer aucun .exe depuis les postes fixes de la BNF.


    Je les utilise pour me connecter à ma boite gmail.
     
  24. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0

    Ouais mais prenons le cas de BNF par exemple. Il y a des dizaines et des dizaines de postes informatiques pour le public plus ceux de l'adminsitration. Tout ça passe dans les câbles de la BNF, en sortie.

    Toi, tu te connectes à l'admin non sécurisée de ton site internet, via un de ces postes fixe. A quel niveau se trouve le risque ?
     
  25. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 906
    J'aime reçus:
    14
    Je ne suis pas expert en administration réseau.
    Mais a priori à moins que chaque machine soit entièrement indépendante des autres, lorsqu'un paquet est envoyé il passe par tous le réseau et peut donc être intercepté. Donc même à la BNF je dirais que les risques sont présent. Mais je ne peux l'affirmer. je laisse la place aux experts pour te répondre :wink:
     
  26. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    ça dépend.
     
  27. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    Justement : il peut être intercepté depuis l'intérieur de la BNF, ou depuis l'extérieur, lorsqu'il sort de la BNF ?
    Dans le premier cas, il faut que le type amène son portable avec ses logiciels de piratage, dont l'emploi est interdit. C'est pas le genre de la clientèle locale, mais vous me direz c'est pas marqué sur le front.

    Puis en toute chose, rappelons qu'il y a la sécurité théorique et la sécurité pratique. En théorie, le risque zéro n'existe pour aucun système, donc en pratique il faut se demander si c'est assez sécurisé par rapport aux enjeux.
     
  28. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    bah avec la nouvelle loi "renseignement" la question ne se pose plus, de toute façon "Il va être intercepté" :D
     
  29. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    Certes. M'est avis que c'est de toute façon le cas depuis très longtemps. Leurs lois ne font qu'officialiser ce qui se fait déjà et ils doivent déjà faire des choses qui ne sont pas encore prévues par la loi.

    La question en la matière n'est à mon sens pas tant ce qu'ils interceptent, que ce qu'ils en font et comment.
     
  30. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    C'est hors sujet mais oui ça devais se faire mais non pas comme ils vont le faire. Là on passe d'une volonté de flicage a un équipement technique et généralisé pour le flicage, c'est très différent.
     
  31. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    Ouaip.


    Donc pour ce qui est du sujet, je demande ça parce que j'hésite à prendre un nouvel hébergement.
    Chez hostgator, j'ai une promo avec 75% de réduc, ça en vaut la peine. Mais entre l'offre sans SSL et l'offre avec, c'est du simple au triple.

    Ou alors je retourne chez OVH, mais les réponses évasives de leur service technique me donne encore de l'urticaire, 5 ans après.
     
  32. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    Le SSL il va falloir y passer de toute façon (écoute bien car c'est pas un partisan de ça qui te le dis) Mais :
    * faut pas que ce soit ton premier critère.
    * faut garder la porte ouverte au cas ou
    * c'est un critère très secondaire niveau SEO
    * c'est pas l'arme absolue de la sécurité.
     
  33. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 906
    J'aime reçus:
    14
    Oui voilà, c’est pour ça que j'ai pas voulu m'avancer. :mrgreen:
    En est-il de même pour le wifi ?
     
  34. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 192
    J'aime reçus:
    1
    Le wifi c'est de la radio, toute antenne qui traîne peut capter un signal et l'interpréter a sa façon.
    edit > sur du filaire aussi tu peut "renifler" tout ce que tu veux mais a un certains niveau faut dénuder les fils pour se connecter :D
     
  35. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    C'est un coriace le mec qui dénude les fils de la BNF...
     
  36. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    En même temps il semblerait que tu cherches absolument une excuse pour éviter les 25€/an du TLS. Je vois pas comment on va pouvoir te convaincre, si tu as déjà pris ta décision.
     
  37. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    Ce n'est pas 25 c'est 50, du moins chez hostgator. Et je crois que c'est 60 chez ovh.
    Puis si je prends sans SSL, je peux prendre l'offre la moins chère, uni-domaine, ce qui me coûte quelque chose comme 25€ avec la promo dont je dispose, contre 17*12=204€ avec SSL, donc environ 800% plus cher.

    La différence justifie quand même le doute...


    Mais entre nous, si pour sniffer les mots de passe de la BNF il faut une opération physique et matérielle sur les câbles eux-mêmes, autant dire que le risque de piratage est très très très réduit. Bien sûr, mes mots de passe seront captés par la DGSI, CIA et compagnie mais en général ils ne s'en servent pas pour pirater les sites de psycho...
     
  38. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    Alors, je fais remonter ce fil de discussion car je m'apprête à recréer un site internet.
    Donc voilà, j'ai une grosse promo chez hostgator là et j'aime bien cet hébergeur qui est quand même très fiable, même si les prix sont en rapport... Mais tout se paie.
    Par contre je ne veux pas pour autant gâcher mon argent et entre l'offre avec SSL inclu et celle sans, ça fait quand même une grosse différence (du simple au double, presque).

    Donc je relance le débat : sachant que je ne vais me connecter que depuis des postes publics (bibliothèque) usant d'un accès filaire et non pas wi-fi, pensez-vous que le SSL soit vraiment utile pour me connecter à l'admin du site ? Je précise que c'est un site de psycho lambda.
    Sprout a dit plus haut qu'il faut dénuder les fils pour pirater les données qui transitent par accès filaire. Ca m'étonne. Sur l'ensemble du trajet mondial des petits bits, il n'y a pas d'autre moyen qu'un cutter, une pince et un aspirateur pour sniffer les mots de passe ?
     
  39. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 022
    J'aime reçus:
    291
    C'est spout pas sprout :mrgreen:

    Wifi ou filaire, n'importe qui peut intercepter les datas, suffit de tester wireshark ou ettercap pr s'en rendre compte.
     
  40. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    C'est bien ce que je pensais.


    Enfin "n'importe qui", ça doit quand même nécessiter certaines compétences... Moi comme ça, je ne sais pas le faire. Et le mec qui a ces compétences, va-t'il s'en servir pour pirater l'admin d'un site lambda ? "On peut pas savoir", direz-vous...

    Je suis sûr qu'il y a un risque infinitésimal sans le ssl, mais avec le ssl, on se sent fictivement plus en sécurité...

    Comment opèrent les gars, ceci dit ? Ils interceptent tout ce qui sort de la bibliothèque ou qui va chez un hébergeur, puis ils isolent les mots de passe du contenu global intercepté, pour ensuite voir dans le lot ce qui peut leur servir ? C'est exactement ce que font les pécheurs, c'est le cas de le dire.

    Ou alors ils ciblent d'emblée un site qui les intéresse ?

    On a donc plusieurs types de pirates. M'enfin ça résout pas mon problème. Mais dites-donc, si le SSL était aussi indispensable que ça, pourquoi tous les hébergements n'en disposent-ils pas ? Et même les forums phpBB & co, ou même wordpress, dotclear, etc... Tout ça tourne sans SSL et on entend pas dire tous les 4 matins qu'un blog ou un forum s'est fait pirater.
     
  41. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Parce qu'ils ne s'en vantent pas. :) Rien qu'à mon échelle, je vois des sites de ce genre se faire trouer toutes les semaines.
    Mais généralement c'est un problème de mise à jour, pas de SSL.
     
  42. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 906
    J'aime reçus:
    14
    Les cas de piratage parce qu'on est pas en https sont bien plus rares que ceux liés à une faille interne XSS, injections sql etc.
    C’est une sécurité supplémentaire mais loin d'être la plus importante (pour le moment) du moins pour les sites qui n'ont pas de données sensibles.
     
  43. Alorsladaccord
    Alorsladaccord WRInaute occasionnel
    Inscrit:
    30 Juillet 2014
    Messages:
    485
    J'aime reçus:
    0
    Cela me semble être un avis tempéré.
     
Chargement...
Similar Threads - nécessité réel ssl Forum Date
exception sur sous-répertoire (nécessite ajout index.php) URL Rewriting et .htaccess 26 Août 2015
Un site responsive, une nécessité absolue pour le référencement Débuter en référencement 29 Juin 2015
Nécessité d'un code captcha pour une soumission d'url unique ? Développement d'un site Web ou d'une appli mobile 15 Juillet 2014
Nécessité d'acheter l'homologue en .com ? Crawl et indexation Google, sitemaps 27 Août 2010
Ouvrir un forum Achat-Vente nécessite-t-il des précautions ? Droit du web (juridique, fiscalité...) 23 Septembre 2009
Search Console Liens "rééls" ou pas ? Débuter en référencement 21 Mars 2020
Analytics reste à 0 sauf en temps réels Google Analytics 8 Décembre 2019
Contenu mixte vers http / css - réelle gravité ? Débuter en référencement 24 Septembre 2019
Comment suivre les événements et le trafic en temps réel avec Tag Manager - Analytics Google Analytics 7 Août 2019
Pigiste/freelance vérifier les articles pour le Duplicate Content Débuter en référencement 17 Juillet 2019
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice