Pour Chrome, un site HTTP est NON sécurisé !

WRInaute accro
Cela ne concerne que ceux qui font des sites pour Google... Les autres ne verront même pas cette icône. :mrgreen:

Jean-Luc
 
WRInaute passionné
Je ne vois pas en quoi cette icône avec un cadenas et une croix rouge peut me faire passer à https.

Pas sécurisé? Et alors? Faire du ski ce n'est pas sécurisé, sortir de chez soi non plus, y rester pas toujours très sécurisé non plus.
Bref, faut être grave pour passer son site en https à cause de raisons comme ça.

D'ailleurs comme précisé dans l'article : "ce n'est pas parce que le site est en HTTPS qu'il est "sécurisé" à tous niveaux (on doit pouvoir trouver des sites HTTPS moins sécurisés que certains en HTTP)"

Donc l'icône ne doit pas être lue comme "non sécurisé" mais plutôt comme "non https" c'est tout.
 
WRInaute passionné
C'est surtout pour les e-commerçant que ça va avoir un impact, difficile d'expliquer aux gens qu'ils peuvent commander en «toute confiance» avec un tel symbole.

Pour ce qui est du reste, ça coûte si peu de nos jours d'activer HTTPS, que c'est vrai que c'est dommage de s'en priver. Un certificat, c'est gratuit par exemple chez StartSSL.
 
Membre Honoré
Bonjour,

+1 avec Patapon87. Et le HTTPS n'est que le haut de l'iceberg. J'ai expliqué le pourquoi via un article : lien.

Je ne vais pas m'éterniser sur ce sujet et me répéter (déjà trop souvent débattu). :)

Cordialement.
 
WRInaute passionné
HTTPS n'est pas forcément suffisant pour assurer la sécurité d'un site, c'est évident oui, mais en tous cas sans HTTPS on n'a pas la moindre garantie d'être sur le bon site/serveur, et on est certain que le trafic peut être vu par n'importe quel quidam sur le même réseau que soit.

Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.

Maintenant est-ce nécessaire partout ? Bien sûr que non, mais ça devrait probablement être plus répandu, notamment pour les espaces membres comme les forums.
 
WRInaute impliqué
Madrileño a dit:
+1 avec Patapon87. Et le HTTPS n'est que le haut de l'iceberg. J'ai expliqué le pourquoi via un article : lien.
Ce qui va être drôle dans l'histoire, c'est le deuxième effet kisscool du HTTPs. Car quand un site se fera hacker et transformé en plateforme de récolte de données, l'utilisateur qui arrivera sur ce site verra le beau cadenas bien vert et sera convaincu du bien fondé du contenu …

Bool a dit:
Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.
Ce n'est pas parce la communication entre deux téléphones est sécurisée que tu es sur de celui qui est au bout du fil.
 
WRInaute passionné
Blount a dit:
Bool a dit:
Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.
Ce n'est pas parce la communication entre deux téléphones est sécurisée que tu es sur de celui qui est au bout du fil.

Mais... de quoi tu parles ?

Le système de certificat indique explicitement que oui, le serveur qui te répond a effectivement le droit de se faire appeler forum.webrankinfo.com. Pas plus, pas moins, mais c'est déjà beaucoup. Bref, il ne s'agit pas seulement de chiffrer le transfert : l'usurpateur pourrait en faire autant. Par contre l'usurpateur en question ne peut pas se faire passer pour forum.webrankinfo.com, à moins d'hacker réellement les serveurs de WRI.

Tandis que sans HTTPS, (presque) n'importe qui peut faire ça dans un McDo, une université, etc.
 
WRInaute impliqué
Justement, c'est le coté serveur (plus précisément le site en question) hacké que je veux mettre en avant.
Tu as beau avoir un certificat signé, si le hacker (où cracker d'ailleurs) place un fichier proxy, bah tu n'as plus le bon interlocuteur.
En gros, dans ce schéma : A => B => C
A, le client, se connecte sur B en chiffré/signé et B "redirige" les requêtes vers C.
Et bien entendu, A est persuadé de communiquer avec le "bon" interlocuteur.

Ça c'est pour bien te faire comprendre ce que j'essaie d'expliquer, mais le cracker n'aura qu'à modifier les fichiers de B bien entendu.

Mais effectivement, le HTTS empêche quelqu'un de se mettre entre A et B et de lire ce qu'ils se disent.
 
WRInaute passionné
Alors oui, si quelqu'un a essayé de vous vendre HTTPS comme une solution protégeant vos serveurs, c'était clairement une erreur. Mais pour ma part je n'ai jamais lu ça où que ce soit.
HTTPS sert à éviter que quelqu'un entre votre poste et le véritable serveur n'intercepte/modifie/écoute les communications. C'est tout.

Après on peut discuter de l'efficacité des CA dans ce rôle, mais clairement la sécurité du serveur n'a rien à voir à l'histoire.
 
WRInaute impliqué
Tu as pourtant bien dit dans un de tes postes qu'avec un certificat on etait sur d'avoir le bon interllcuteur. C'est avec ce point que je ne suis pas d'accord.
 
WRInaute passionné
Je maintiens ce point, le système de CA garantie que le serveur avec qui tu fais l'échange est bien celui que tu veux.
Mais évidement, ça ne peut pas garantie que le serveur en question n'ait pas été compromis.
 
WRInaute passionné
Les avantages du HTTPS ne font pas de doute.
Par contre sur un site HTTPS, Adsense n'affiche pas les pubs (ou sites ?) qui ne sont pas HTTPS, donc ça veut dire une perte de revenus pour les sites qui utilisent Adsense.
 
WRInaute accro
Bool a dit:
HTTPS n'est pas forcément suffisant pour assurer la sécurité d'un site, c'est évident oui, mais en tous cas sans HTTPS on n'a pas la moindre garantie d'être sur le bon site/serveur, et on est certain que le trafic peut être vu par n'importe quel quidam sur le même réseau que soit.

Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.

Maintenant est-ce nécessaire partout ? Bien sûr que non, mais ça devrait probablement être plus répandu, notamment pour les espaces membres comme les forums.

Excellent post que j'ai reco (surtout par rapport aux autres réponses ... y compris quelques anneries).
Petit rappel sur les transferts internet de données.

http: les transactions ... demande -> envoi des données.
https: demande -> envoi d'une clé ->réception de la clé de celui qui demande->nouvelle demande et vérification de la clé pour chaque demande suivante ... sécurisé? une fois la clé réceptionnée ... pas de problèmes (je schématise): première connexion, récupération de la clé et ... accès.

Les mécanismes sont un peu plus complexes pour des sites VRAIMENT sécurisés (voire sur Google Kerberos par exemple) mais pour les autres ... Google en https, c'est juste pour cacher les requêtes
Bool a dit:
Je maintiens ce point, le système de CA garantie que le serveur avec qui tu fais l'échange est bien celui que tu veux.
Mais évidement, ça ne peut pas garantie que le serveur en question n'ait pas été compromis.
Effectivement ...

Mais ca ne garantit pas que le serveur n'est pas hacké.
 
Discussions similaires
Haut