De la nécessité réel du ssl pour un site web ?

WRInaute occasionnel
Bonjour,

Pour un site internet qui ne réalise aucune transaction, uniquement du contenu avec un accès membres pour ceux qui veulent poster des commentaires, le tout sur une thématique pas particulièrement polémique, pensez-vous que le SSL pour l'authentification soit réellement nécessaire :?:

Et l'est-il plus ou pas davantage si on se connecte ordinairement depuis une bibliothèque :?:


Merci d'avance
 
WRInaute accro
Franchement ca sert à rien... pour te donner un ordre de priorité. Google a donné une date précise pour passer au mobile... pour le SSL... bah Google a juste dit qu'il ne prendrait en compte.
 
WRInaute occasionnel
Salut finstreet,

J'ai lu quelques trucs concernant google et ses rapports avec le ssl.
Ceci dit, ma question ne concerne pas le référencement mais seulement la sécurité.
 
WRInaute accro
Alorsladaccord a dit:
seulement la sécurité.
Les vrais atteintes a la sécurité se contrefichent du SSL c'est juste un peut de temps machine en plus. La sécurité de tous les jours c'est un système propre a jour et ça concerne les bidouilleurs du dimanche.

Autrement formulé si tu veux te protéger des culcul du net met ton truc a jour si tu veux de protéger de la NSA ton certificat SSL te servira a rien.
 
WRInaute occasionnel
Genre je suis dans une bibliothèque municipale avec accès filaire, personne ne peut intercepter mes identifiants en sortie ?

Des fois que quelqu'un n'ait que ça à faire.
 
WRInaute accro
si, il me semble que dans les lieux publiques tu as des risques d'être sniffé. Mieux vaut donc éviter de te connecter sur ton compte administrateur dans les lieux privés si ce n’est pas en https.
Dans ton cas le vol d'un compte membre serait pas dramatique. Mais c’est toujours bon de bien indiquer aux membres qu'ils ne doivent jamais utiliser les mêmes mot de passe partout ou ils vont.

C'est la seule raison qui me ferait peut être passé au https. Surtout qu'on se connecte de plus en plus dans des lieux publiques.

Je crois que c’est en plus pas très difficile de sniffer le réseau. Avec un logiciel tu récupère les paquets qui circulent sur le réseau.

https://www.google.fr/?gws_rd=ssl#newwindow=1&safe=off&q=sniffer+wifi

A confirmer.
 
WRInaute accro
noren a dit:
Je crois que c’est en plus pas très difficile de sniffer le réseau. Avec un logiciel tu récupère les paquets qui circulent sur le réseau.
Et tu va décoder (même si c'est en clair c'est pas super lisible) un million de paquets TCP IP des fois que par hasard un gars ai touché une page login ? ...
Si t'en est a vouloir un mdp il y a plus simple.
 
WRInaute accro
Alorsladaccord a dit:
trafic filaire, par câbles quoi.
Dans le principe la technique présenté par Noren est valable aussi en filaire. Et Noren te donne, à juste titre, un exemple parlant de zone a risque ce qui comprend une connexion non filaire. Ce qu'il met en avant peut être valable aussi sur des réseaux filaires avec de nombreuses machine (genre réseau d'entreprise ou de fac)
 
WRInaute passionné
zeb a dit:
noren a dit:
Je crois que c’est en plus pas très difficile de sniffer le réseau. Avec un logiciel tu récupère les paquets qui circulent sur le réseau.
Et tu va décoder (même si c'est en clair c'est pas super lisible) un million de paquets TCP IP des fois que par hasard un gars ai touché une page login ? ...
Si t'en est a vouloir un mdp il y a plus simple.

Roh... mais as-tu essayé ne serait-ce qu'une seule fois ?

Il y a des outils parfaitements adaptés pour ça, qui font le tri tous seuls. Ça sait parfaitement identifier les paquets contenant les identifiants HTTP (= de type “htpasswd”) ou les soumissions de formulaire contenant un champ “password”, “pass” etc.

Bref, t'as rien à «décoder» à la main, tu laisses tourner ce type d'outil 1 heure, tu reviens après et t'as toute une liste d'accès pour t'amuser à pourrir la vie des gens.
 
WRInaute accro
Bool a dit:
mais as-tu essayé ne serait-ce qu'une seule fois ?
De renifler et de "décoder ce qui transite" (comprendre > lire et comprendre) oui, mais suis pas un kiddie, je vais pas installer un soft pour cela ...
Et la même fonctionnalité en https elle va arriver quand ? dans qques années quand la puissance de calcul aura quadruplée ? Si c'est pas déjà dispo...
 
WRInaute passionné
Ok, donc on est d'accord que tu ne sais pas du tout de quoi tu parles ?

Les ciphers SSL évoluent régulièrement, et les navigateurs refusent progressivement les vieux ciphers obsolètes. C'est ce qui fait entre autre qu'IE6 se fait refouler sur beaucoup de services SSL.

Même pour la NSA, “déchiffrer” du SSL est complexe. À la place ils vont préférer faire du “Man In The Middle” en usurpant l'identité du serveur d'origine (via une “Autorité de Confiance” compromise), tenter de voler les clés de déchiffrement par un autre biais, ou enfin réduire le niveau de chiffrement. Il y a de nombreux articles techniques là dessus, je t'invite à commencer par Linuxfr.org.
Bref actuellement le problème du SSL/TLS, c'est le réseau de CA, ou parfois l'implémantation, pas le niveau de chiffrement.
 
WRInaute accro
Bool a dit:
Ok, donc on est d'accord que tu ne sais pas du tout de quoi tu parles ?
On est surtout d'accord sur le fait que si je met le SSL destiné au web a la poubelle de façon certainement exagérée tu met tout dans le même sac de la même façon.
Entre se baser sur des pratiques qui datent et qui ont donc évolué et ne pas savoir de quoi on parle il y a de la marge :wink:

Après, pour le fond (qui est la vrai question), tu semble me rejoindre sur un point qui est que pour outrepasser cette relative sécurité il y a d'autres moyens plus faciles.
 
WRInaute accro
@zeb : ahma les sniffer sont ce qu'il y a de plus simple pour tous ceux souhaitent chopper des données confidentielles de façon massive. Tu te met dans des lieux publics (mc do,etc.) et tu te gaves. Pour les autres solutions, il y a d'autres protections.

Le soucis, comme je le disais plus haut, c’est qu'on est de de plus en plus dans un monde où tout est connecté et interconnecté. les espaces de connexions publiques sont de plus en plus nombreux. Et qui sait, peut être qu'un jour on aura plus besoin de box chez nous.
Quoi qu'il en soit même si je ne souhaite pas encore passer le cap du https (pour des raisons techniques etc.), en terme de sécurité il se justifie quoi qu'on en dise. En tout cas pour tous ceux ayant un espace membre, ou même un simple espace d'administration.

Après les sites lambda ne demandant aucune info ultra confidentielle, n'ont pas besoin forcément d'un tel niveau de difficulté. même si...

D'après ce que j'ai pu lire il y a même des outils pour décrypter les cle wep etc. Donc une personne peut très bien en se mettant à l’extérieur de chez toi s’infiltrer dans ton réseau wifi. Certes c'est peut être d'un niveau supérieur mais bon. Et il faudrait que tu n'es vraiment pas de chance ou que quelqu'un t'en veut particulièrement.
 
WRInaute passionné
Les réseaux WEP sont régulièrement craqués oui, c'est pour ça qu'ils sont très fortement déconseillés.
 
WRInaute accro
C’est pas nous qui décidons le type de la clé sur nos box si?
Les box récentes sont elles plus sécurisées?
 
WRInaute passionné
Je ne connais pas les box des différents FAI. Je sais que chez Free on a le choix, et que c'est plutôt sécurisé (WPA / AES), pour les autres, je ne sais pas. Dans mon voisinage je vois de moins en moins de WEP, mais il en reste.
 
WRInaute accro
ah j'avouerais que je sais même pas où l'on voit si c’est wep ou wpa :mrgreen:

PS ; ah non c’est bon je suis allé voir ça dans la box et c’est bien du WPA
 
WRInaute occasionnel
Pour préciser vos débats, que pensez-vous de ce cas :

Une connexion non cryptée depuis la Bibliothèque nationale de France présente-t'elle un risque ? Je précise que c'est un accès filaire.

Et il y a deux types de connexion possible :

Son propre ordinateur ou alors les postes fixes préinstallés.
 
WRInaute passionné
Lance un outil comme wireshark et tu seras vite fixé. Si tu vois autre chose que ton propre trafic, c'est que le risque est très élevé.
 
WRInaute accro
Alorsladaccord a dit:
ou alors les postes fixes préinstallés.
D'une manière générale se connecter depuis une machine qui n'est pas la tienne c'est prendre un risque surtout si tu ne sais pas comment la machine gère tes datas perso (sans même parler de l'état de santé de la dite machine).
 
WRInaute occasionnel
Bool a dit:
Lance un outil comme wireshark et tu seras vite fixé. Si tu vois autre chose que ton propre trafic, c'est que le risque est très élevé.


On ne peut lancer aucun .exe depuis les postes fixes de la BNF.


Je les utilise pour me connecter à ma boite gmail.
 
WRInaute occasionnel
noren a dit:
@zeb : ahma les sniffer sont ce qu'il y a de plus simple pour tous ceux souhaitent chopper des données confidentielles de façon massive. Tu te met dans des lieux publics (mc do,etc.) et tu te gaves. Pour les autres solutions, il y a d'autres protections.


Ouais mais prenons le cas de BNF par exemple. Il y a des dizaines et des dizaines de postes informatiques pour le public plus ceux de l'adminsitration. Tout ça passe dans les câbles de la BNF, en sortie.

Toi, tu te connectes à l'admin non sécurisée de ton site internet, via un de ces postes fixe. A quel niveau se trouve le risque ?
 
WRInaute accro
Je ne suis pas expert en administration réseau.
Mais a priori à moins que chaque machine soit entièrement indépendante des autres, lorsqu'un paquet est envoyé il passe par tous le réseau et peut donc être intercepté. Donc même à la BNF je dirais que les risques sont présent. Mais je ne peux l'affirmer. je laisse la place aux experts pour te répondre :wink:
 
WRInaute occasionnel
noren a dit:
Mais a priori à moins que chaque machine soit entièrement indépendante des autres, lorsqu'un paquet est envoyé il passe par tous le réseau et peut donc être intercepté.

Justement : il peut être intercepté depuis l'intérieur de la BNF, ou depuis l'extérieur, lorsqu'il sort de la BNF ?
Dans le premier cas, il faut que le type amène son portable avec ses logiciels de piratage, dont l'emploi est interdit. C'est pas le genre de la clientèle locale, mais vous me direz c'est pas marqué sur le front.

Puis en toute chose, rappelons qu'il y a la sécurité théorique et la sécurité pratique. En théorie, le risque zéro n'existe pour aucun système, donc en pratique il faut se demander si c'est assez sécurisé par rapport aux enjeux.
 
WRInaute accro
Alorsladaccord a dit:
il peut être intercepté depuis l'intérieur de la BNF, ou depuis l'extérieur, ...
bah avec la nouvelle loi "renseignement" la question ne se pose plus, de toute façon "Il va être intercepté" :D
 
WRInaute occasionnel
Certes. M'est avis que c'est de toute façon le cas depuis très longtemps. Leurs lois ne font qu'officialiser ce qui se fait déjà et ils doivent déjà faire des choses qui ne sont pas encore prévues par la loi.

La question en la matière n'est à mon sens pas tant ce qu'ils interceptent, que ce qu'ils en font et comment.
 
WRInaute accro
Alorsladaccord a dit:
Certes. M'est avis que c'est de toute façon le cas depuis très longtemps.
C'est hors sujet mais oui ça devais se faire mais non pas comme ils vont le faire. Là on passe d'une volonté de flicage a un équipement technique et généralisé pour le flicage, c'est très différent.
 
WRInaute occasionnel
Ouaip.


Donc pour ce qui est du sujet, je demande ça parce que j'hésite à prendre un nouvel hébergement.
Chez hostgator, j'ai une promo avec 75% de réduc, ça en vaut la peine. Mais entre l'offre sans SSL et l'offre avec, c'est du simple au triple.

Ou alors je retourne chez OVH, mais les réponses évasives de leur service technique me donne encore de l'urticaire, 5 ans après.
 
WRInaute accro
Le SSL il va falloir y passer de toute façon (écoute bien car c'est pas un partisan de ça qui te le dis) Mais :
* faut pas que ce soit ton premier critère.
* faut garder la porte ouverte au cas ou
* c'est un critère très secondaire niveau SEO
* c'est pas l'arme absolue de la sécurité.
 
WRInaute accro
Le wifi c'est de la radio, toute antenne qui traîne peut capter un signal et l'interpréter a sa façon.
edit > sur du filaire aussi tu peut "renifler" tout ce que tu veux mais a un certains niveau faut dénuder les fils pour se connecter :D
 
WRInaute occasionnel
zeb a dit:
Le wifi c'est de la radio, toute antenne qui traîne peut capter un signal et l'interpréter a sa façon.
edit > sur du filaire aussi tu peut "renifler" tout ce que tu veux mais a un certains niveau faut dénuder les fils pour se connecter :D

C'est un coriace le mec qui dénude les fils de la BNF...
 
WRInaute passionné
En même temps il semblerait que tu cherches absolument une excuse pour éviter les 25€/an du TLS. Je vois pas comment on va pouvoir te convaincre, si tu as déjà pris ta décision.
 
WRInaute occasionnel
Ce n'est pas 25 c'est 50, du moins chez hostgator. Et je crois que c'est 60 chez ovh.
Puis si je prends sans SSL, je peux prendre l'offre la moins chère, uni-domaine, ce qui me coûte quelque chose comme 25€ avec la promo dont je dispose, contre 17*12=204€ avec SSL, donc environ 800% plus cher.

La différence justifie quand même le doute...


Mais entre nous, si pour sniffer les mots de passe de la BNF il faut une opération physique et matérielle sur les câbles eux-mêmes, autant dire que le risque de piratage est très très très réduit. Bien sûr, mes mots de passe seront captés par la DGSI, CIA et compagnie mais en général ils ne s'en servent pas pour pirater les sites de psycho...
 
WRInaute occasionnel
Alors, je fais remonter ce fil de discussion car je m'apprête à recréer un site internet.
Donc voilà, j'ai une grosse promo chez hostgator là et j'aime bien cet hébergeur qui est quand même très fiable, même si les prix sont en rapport... Mais tout se paie.
Par contre je ne veux pas pour autant gâcher mon argent et entre l'offre avec SSL inclu et celle sans, ça fait quand même une grosse différence (du simple au double, presque).

Donc je relance le débat : sachant que je ne vais me connecter que depuis des postes publics (bibliothèque) usant d'un accès filaire et non pas wi-fi, pensez-vous que le SSL soit vraiment utile pour me connecter à l'admin du site ? Je précise que c'est un site de psycho lambda.
Sprout a dit plus haut qu'il faut dénuder les fils pour pirater les données qui transitent par accès filaire. Ca m'étonne. Sur l'ensemble du trajet mondial des petits bits, il n'y a pas d'autre moyen qu'un cutter, une pince et un aspirateur pour sniffer les mots de passe ?
 
WRInaute accro
C'est spout pas sprout :mrgreen:

Wifi ou filaire, n'importe qui peut intercepter les datas, suffit de tester wireshark ou ettercap pr s'en rendre compte.
 
WRInaute occasionnel
C'est bien ce que je pensais.


Enfin "n'importe qui", ça doit quand même nécessiter certaines compétences... Moi comme ça, je ne sais pas le faire. Et le mec qui a ces compétences, va-t'il s'en servir pour pirater l'admin d'un site lambda ? "On peut pas savoir", direz-vous...

Je suis sûr qu'il y a un risque infinitésimal sans le ssl, mais avec le ssl, on se sent fictivement plus en sécurité...

Comment opèrent les gars, ceci dit ? Ils interceptent tout ce qui sort de la bibliothèque ou qui va chez un hébergeur, puis ils isolent les mots de passe du contenu global intercepté, pour ensuite voir dans le lot ce qui peut leur servir ? C'est exactement ce que font les pécheurs, c'est le cas de le dire.

Ou alors ils ciblent d'emblée un site qui les intéresse ?

On a donc plusieurs types de pirates. M'enfin ça résout pas mon problème. Mais dites-donc, si le SSL était aussi indispensable que ça, pourquoi tous les hébergements n'en disposent-ils pas ? Et même les forums phpBB & co, ou même wordpress, dotclear, etc... Tout ça tourne sans SSL et on entend pas dire tous les 4 matins qu'un blog ou un forum s'est fait pirater.
 
WRInaute passionné
Tout ça tourne sans SSL et on entend pas dire tous les 4 matins qu'un blog ou un forum s'est fait pirater.

Parce qu'ils ne s'en vantent pas. :) Rien qu'à mon échelle, je vois des sites de ce genre se faire trouer toutes les semaines.
Mais généralement c'est un problème de mise à jour, pas de SSL.
 
WRInaute accro
Les cas de piratage parce qu'on est pas en https sont bien plus rares que ceux liés à une faille interne XSS, injections sql etc.
C’est une sécurité supplémentaire mais loin d'être la plus importante (pour le moment) du moins pour les sites qui n'ont pas de données sensibles.
 
Discussions similaires
Haut