Pour Chrome, un site HTTP est NON sécurisé !

Discussion dans 'Administration d'un site Web' créé par WebRankInfo, 29 Janvier 2015.

  1. WebRankInfo
    WebRankInfo Admin
    Membre du personnel
    Inscrit:
    19 Avril 2002
    Messages:
    22 904
    J'aime reçus:
    28
  2. jeanluc
    jeanluc WRInaute accro
    Inscrit:
    3 Mai 2004
    Messages:
    3 285
    J'aime reçus:
    0
    Cela ne concerne que ceux qui font des sites pour Google... Les autres ne verront même pas cette icône. :mrgreen:

    Jean-Luc
     
  3. FortTrafic
    FortTrafic WRInaute passionné
    Inscrit:
    11 Décembre 2012
    Messages:
    1 450
    J'aime reçus:
    5
    Je ne vois pas en quoi cette icône avec un cadenas et une croix rouge peut me faire passer à https.

    Pas sécurisé? Et alors? Faire du ski ce n'est pas sécurisé, sortir de chez soi non plus, y rester pas toujours très sécurisé non plus.
    Bref, faut être grave pour passer son site en https à cause de raisons comme ça.

    D'ailleurs comme précisé dans l'article : "ce n'est pas parce que le site est en HTTPS qu'il est "sécurisé" à tous niveaux (on doit pouvoir trouver des sites HTTPS moins sécurisés que certains en HTTP)"

    Donc l'icône ne doit pas être lue comme "non sécurisé" mais plutôt comme "non https" c'est tout.
     
  4. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 598
    J'aime reçus:
    0
    C'est surtout pour les e-commerçant que ça va avoir un impact, difficile d'expliquer aux gens qu'ils peuvent commander en «toute confiance» avec un tel symbole.

    Pour ce qui est du reste, ça coûte si peu de nos jours d'activer HTTPS, que c'est vrai que c'est dommage de s'en priver. Un certificat, c'est gratuit par exemple chez StartSSL.
     
  5. patapon87
    patapon87 WRInaute passionné
    Inscrit:
    12 Janvier 2010
    Messages:
    1 395
    J'aime reçus:
    0
    Sauf que, un site qui n´a pas de zone membre, qui ne vend rien etc... pourquoi se faire **** à passer en https
     
  6. Madrileño
    Madrileño Madribot
    Inscrit:
    7 Juillet 2004
    Messages:
    37 946
    J'aime reçus:
    84
    Bonjour,

    +1 avec Patapon87. Et le HTTPS n'est que le haut de l'iceberg. J'ai expliqué le pourquoi via un article : lien.

    Je ne vais pas m'éterniser sur ce sujet et me répéter (déjà trop souvent débattu). :)

    Cordialement.
     
  7. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 598
    J'aime reçus:
    0
    HTTPS n'est pas forcément suffisant pour assurer la sécurité d'un site, c'est évident oui, mais en tous cas sans HTTPS on n'a pas la moindre garantie d'être sur le bon site/serveur, et on est certain que le trafic peut être vu par n'importe quel quidam sur le même réseau que soit.

    Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.

    Maintenant est-ce nécessaire partout ? Bien sûr que non, mais ça devrait probablement être plus répandu, notamment pour les espaces membres comme les forums.
     
  8. Blount
    Blount WRInaute impliqué
    Inscrit:
    18 Novembre 2010
    Messages:
    726
    J'aime reçus:
    0
    Ce qui va être drôle dans l'histoire, c'est le deuxième effet kisscool du HTTPs. Car quand un site se fera hacker et transformé en plateforme de récolte de données, l'utilisateur qui arrivera sur ce site verra le beau cadenas bien vert et sera convaincu du bien fondé du contenu …

    Ce n'est pas parce la communication entre deux téléphones est sécurisée que tu es sur de celui qui est au bout du fil.
     
  9. Madrileño
    Madrileño Madribot
    Inscrit:
    7 Juillet 2004
    Messages:
    37 946
    J'aime reçus:
    84
    Bonjour,

    En effet Blount c'est très amusant (surtout quand on sait que c'est déjà arrivé). :)

    Cordialement.
     
  10. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 598
    J'aime reçus:
    0
    Mais... de quoi tu parles ?

    Le système de certificat indique explicitement que oui, le serveur qui te répond a effectivement le droit de se faire appeler forum.webrankinfo.com. Pas plus, pas moins, mais c'est déjà beaucoup. Bref, il ne s'agit pas seulement de chiffrer le transfert : l'usurpateur pourrait en faire autant. Par contre l'usurpateur en question ne peut pas se faire passer pour forum.webrankinfo.com, à moins d'hacker réellement les serveurs de WRI.

    Tandis que sans HTTPS, (presque) n'importe qui peut faire ça dans un McDo, une université, etc.
     
  11. Blount
    Blount WRInaute impliqué
    Inscrit:
    18 Novembre 2010
    Messages:
    726
    J'aime reçus:
    0
    Justement, c'est le coté serveur (plus précisément le site en question) hacké que je veux mettre en avant.
    Tu as beau avoir un certificat signé, si le hacker (où cracker d'ailleurs) place un fichier proxy, bah tu n'as plus le bon interlocuteur.
    En gros, dans ce schéma : A => B => C
    A, le client, se connecte sur B en chiffré/signé et B "redirige" les requêtes vers C.
    Et bien entendu, A est persuadé de communiquer avec le "bon" interlocuteur.

    Ça c'est pour bien te faire comprendre ce que j'essaie d'expliquer, mais le cracker n'aura qu'à modifier les fichiers de B bien entendu.

    Mais effectivement, le HTTS empêche quelqu'un de se mettre entre A et B et de lire ce qu'ils se disent.
     
  12. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 598
    J'aime reçus:
    0
    Alors oui, si quelqu'un a essayé de vous vendre HTTPS comme une solution protégeant vos serveurs, c'était clairement une erreur. Mais pour ma part je n'ai jamais lu ça où que ce soit.
    HTTPS sert à éviter que quelqu'un entre votre poste et le véritable serveur n'intercepte/modifie/écoute les communications. C'est tout.

    Après on peut discuter de l'efficacité des CA dans ce rôle, mais clairement la sécurité du serveur n'a rien à voir à l'histoire.
     
  13. Blount
    Blount WRInaute impliqué
    Inscrit:
    18 Novembre 2010
    Messages:
    726
    J'aime reçus:
    0
    Tu as pourtant bien dit dans un de tes postes qu'avec un certificat on etait sur d'avoir le bon interllcuteur. C'est avec ce point que je ne suis pas d'accord.
     
  14. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 598
    J'aime reçus:
    0
    Je maintiens ce point, le système de CA garantie que le serveur avec qui tu fais l'échange est bien celui que tu veux.
    Mais évidement, ça ne peut pas garantie que le serveur en question n'ait pas été compromis.
     
  15. rick38
    rick38 WRInaute impliqué
    Inscrit:
    23 Février 2013
    Messages:
    543
    J'aime reçus:
    1
    Les avantages du HTTPS ne font pas de doute.
    Par contre sur un site HTTPS, Adsense n'affiche pas les pubs (ou sites ?) qui ne sont pas HTTPS, donc ça veut dire une perte de revenus pour les sites qui utilisent Adsense.
     
  16. ybet
    ybet WRInaute accro
    Inscrit:
    22 Novembre 2003
    Messages:
    9 059
    J'aime reçus:
    0
    Excellent post que j'ai reco (surtout par rapport aux autres réponses ... y compris quelques anneries).
    Petit rappel sur les transferts internet de données.

    http: les transactions ... demande -> envoi des données.
    https: demande -> envoi d'une clé ->réception de la clé de celui qui demande->nouvelle demande et vérification de la clé pour chaque demande suivante ... sécurisé? une fois la clé réceptionnée ... pas de problèmes (je schématise): première connexion, récupération de la clé et ... accès.

    Les mécanismes sont un peu plus complexes pour des sites VRAIMENT sécurisés (voire sur Google Kerberos par exemple) mais pour les autres ... Google en https, c'est juste pour cacher les requêtes
    Effectivement ...

    Mais ca ne garantit pas que le serveur n'est pas hacké.