widget_PA
Code erreur ?
+3
JJR24
roland24
Holo
7 participants
Page 2 sur 2
Page 2 sur 2 • 
1, 2
Re: Code erreur ?
par Invité 27/11/2020, 22:55
Bernard ,
je trouve que déjà que tu es largement au dessus de la moyenne concernant la sécurité informatique.
Tu utilises plusieurs messageries, tu changes régulièrement tes mots de passe sensibles. BRAVO
Pour le paiement je te conseillerais Paypal, bien que ta solution soit sécure, mais pour bénéficier d'une vraie garantie d'achat.
Pour avoir voulu une fois faire jouer l'assurance des cartes c'est un vrai parcours du combattant. Paypal te demande juste de relancer le vendeur une fois et si celui ci ne trouve pas de solution ou pas de réponse Paypal te rembourse sur le champs. De fait je n'hésite plus à commander sur toute la planète.
Pour faire du cryptage , "perso" "à ton nom" , il te faut un certificat de cryptage délivré à ton nom pour ton usage personnel.
Il existe par contre plusieurs types de certificat personnel, 1 pour crypter des fichiers par exemple et 1 autre spécial pour ta messagerie.
(il existe aussi des certificat spéciaux pour les serveurs WEB mais c'est une autre histoire). Donc pour être complet il te faudra 2 certificats pour être vraiment complet. Ils ont un durée de vie en général de 1 an seulement, il faut donc les renouveler. Ils sont généralement payant (cher) et selon , offrent des services en plus , genre régénération en cas de perte etc .. Les gratuits sont très basiques dans leur gestion mais fonctionnent très bien quand même (A ne pas perdre). Par contre pour un nominatif il faut montrer patte blanche (papier identité etc ..). Ils sont délivré en général par voie électronique ou sur clé USB.
Pour venir à Qualys, que je connais très bien car on s'en servait (avec abonnement) pour tester le niveaux de sécurité de nos sites web, de nos serveurs de messagerie et autres FTP etc .. plus de 250 serveurs en tout (3e éditeur mondial oblige celui qui Hachette tous les autres). Ils nous scannaient 1 fois par mois. Et d'un mois à l'autre les notes pouvaient dégringoler car de nouvelles failles étaient découvertes.
Pour revenir à ton serveur, il doit avoir un bon niveau de support du cryptage par contre comme il supporte encore le TLS 1.0 ou 1.1 qui sont maintenant abandonné au profit du TLS 1.3 (TLS 1.2 est encore "toléré"), il est dégradé en code B, rien de grave c'est juste le temps de la transition pour ne pas perdre des clients en route.
Il y a un abus de langage TLS est bien la "méthode" de cryptage et non SSL qui est abandonné depuis bien longtemps car non sécure (trop de failles) mais le terme SSL est resté car il est le plus connu. Transport Layer Security = couche de sécurité du transport, on peut pas être plus explicite pourtant. Pour le TLS 1.3 certains parle du SSL 3.1 mais la vraie dénomination c'est bien TLS.
Refait un test d'ici février, si les admin de ton serveur de messagerie sont sérieux ils devraient avoir supprimé le support de TLS 1.0 ET TLS1.1 et les serveurs devraient revenir en grade A.
Jamais facile de supprimer des méthodes d'accès quand tu as de milliers de clients derrière. Mais quand c'est lié à des failles de sécurité il ne faut pas hésiter. A un moment donné ce n'est plus supportable (dans tous les sens du terme).
Pour moi l'important c'est que tu as déjà conscience des risques, ce qui te permet d'avoir le bon comportement. Il y a tellement de gens qui ne soupçonnent même pas ce qui pourrait leur tomber dessus. Mais heureusement pour 99% il ne se passera jamais rien. Mais je plains vraiment le 1% qui reste.
je trouve que déjà que tu es largement au dessus de la moyenne concernant la sécurité informatique.
Tu utilises plusieurs messageries, tu changes régulièrement tes mots de passe sensibles. BRAVO
Pour le paiement je te conseillerais Paypal, bien que ta solution soit sécure, mais pour bénéficier d'une vraie garantie d'achat.
Pour avoir voulu une fois faire jouer l'assurance des cartes c'est un vrai parcours du combattant. Paypal te demande juste de relancer le vendeur une fois et si celui ci ne trouve pas de solution ou pas de réponse Paypal te rembourse sur le champs. De fait je n'hésite plus à commander sur toute la planète.
Pour faire du cryptage , "perso" "à ton nom" , il te faut un certificat de cryptage délivré à ton nom pour ton usage personnel.Il existe par contre plusieurs types de certificat personnel, 1 pour crypter des fichiers par exemple et 1 autre spécial pour ta messagerie.
(il existe aussi des certificat spéciaux pour les serveurs WEB mais c'est une autre histoire). Donc pour être complet il te faudra 2 certificats pour être vraiment complet. Ils ont un durée de vie en général de 1 an seulement, il faut donc les renouveler. Ils sont généralement payant (cher) et selon , offrent des services en plus , genre régénération en cas de perte etc .. Les gratuits sont très basiques dans leur gestion mais fonctionnent très bien quand même (A ne pas perdre). Par contre pour un nominatif il faut montrer patte blanche (papier identité etc ..). Ils sont délivré en général par voie électronique ou sur clé USB.
Pour venir à Qualys, que je connais très bien car on s'en servait (avec abonnement) pour tester le niveaux de sécurité de nos sites web, de nos serveurs de messagerie et autres FTP etc .. plus de 250 serveurs en tout (3e éditeur mondial oblige celui qui Hachette tous les autres). Ils nous scannaient 1 fois par mois. Et d'un mois à l'autre les notes pouvaient dégringoler car de nouvelles failles étaient découvertes.
Pour revenir à ton serveur, il doit avoir un bon niveau de support du cryptage par contre comme il supporte encore le TLS 1.0 ou 1.1 qui sont maintenant abandonné au profit du TLS 1.3 (TLS 1.2 est encore "toléré"), il est dégradé en code B, rien de grave c'est juste le temps de la transition pour ne pas perdre des clients en route.
Il y a un abus de langage TLS est bien la "méthode" de cryptage et non SSL qui est abandonné depuis bien longtemps car non sécure (trop de failles) mais le terme SSL est resté car il est le plus connu. Transport Layer Security = couche de sécurité du transport, on peut pas être plus explicite pourtant. Pour le TLS 1.3 certains parle du SSL 3.1 mais la vraie dénomination c'est bien TLS.
Refait un test d'ici février, si les admin de ton serveur de messagerie sont sérieux ils devraient avoir supprimé le support de TLS 1.0 ET TLS1.1 et les serveurs devraient revenir en grade A.
Jamais facile de supprimer des méthodes d'accès quand tu as de milliers de clients derrière. Mais quand c'est lié à des failles de sécurité il ne faut pas hésiter. A un moment donné ce n'est plus supportable (dans tous les sens du terme).
Pour moi l'important c'est que tu as déjà conscience des risques, ce qui te permet d'avoir le bon comportement. Il y a tellement de gens qui ne soupçonnent même pas ce qui pourrait leur tomber dessus. Mais heureusement pour 99% il ne se passera jamais rien. Mais je plains vraiment le 1% qui reste.
Invité- Invité
Re: Code erreur ?
par Invité 27/11/2020, 23:11
Pour un certificat gratuit va faire un tour chez : CAcert
Ils possèdent un certificat racine et peuvent emmètre gratuitement des certificats pour les membres de la communauté. C'est ce que tu trouvera de plus sérieux dans le "gratuit".
En plus les infrastructures de Cacert on quitté UK pour venir s'installer en Europe. Car c'est une solution européenne (pour une fois). C'est même la seule je crois.
Ils possèdent un certificat racine et peuvent emmètre gratuitement des certificats pour les membres de la communauté. C'est ce que tu trouvera de plus sérieux dans le "gratuit".
En plus les infrastructures de Cacert on quitté UK pour venir s'installer en Europe. Car c'est une solution européenne (pour une fois). C'est même la seule je crois.
Invité- Invité
Re: Code erreur ?
par Capblanc 28/11/2020, 09:32
Bonjour,
Un tout grand merci Serge, d'avoir pris le temps de développer le sujet et pour les conseils. J'apprécie -et d'autres certainement aussi- énormément car la sécurité en ce domaine est primordiale. j'ai par deux fois, dû tout réinstaller avec certaines pertes importantes au passage bien qu'ayant déjà une sauvegarde à l'époque...et j'ai constaté que c'était dû à une curiosité excessive qui m'emmenait de site en site, jusqu'à la perdition. entre-autre, des recherches de "crackage", comme tu l'a évoqué.
Ce côté là, je l'ai résolu...
Je te remercie également pour le lien "Cacert", j'irai aux renseignement et tenterai de me procurer un certificat. Mais il faut que tout ça soit clair dans mon esprit au préalable. Je vais étudier ça...
Question de béotien à ce stade-ci, le fait de posséder un certificat pour ceux qui ont un domaine se traduit-il toujours par un "s" derrière "http" ? ou y-a-t-il des subtilités ?..
Au plaisir de te lire, Serge,
Bernard.
Un tout grand merci Serge, d'avoir pris le temps de développer le sujet et pour les conseils. J'apprécie -et d'autres certainement aussi- énormément car la sécurité en ce domaine est primordiale. j'ai par deux fois, dû tout réinstaller avec certaines pertes importantes au passage bien qu'ayant déjà une sauvegarde à l'époque...et j'ai constaté que c'était dû à une curiosité excessive qui m'emmenait de site en site, jusqu'à la perdition. entre-autre, des recherches de "crackage", comme tu l'a évoqué.
Ce côté là, je l'ai résolu...
Je te remercie également pour le lien "Cacert", j'irai aux renseignement et tenterai de me procurer un certificat. Mais il faut que tout ça soit clair dans mon esprit au préalable. Je vais étudier ça...
Question de béotien à ce stade-ci, le fait de posséder un certificat pour ceux qui ont un domaine se traduit-il toujours par un "s" derrière "http" ? ou y-a-t-il des subtilités ?..
Au plaisir de te lire, Serge,
Bernard.
____________________________________________
"Trouver est une étape, Chercher est le chemin."
Capblanc- Grand fan du forum
- Nombre de messages : 3401
Localisation : Gers
Age : 70
Tracteurs : Renault 551 - Tracto MF50B - Transporter Goldoni 336 - Bungartz T5 - Holder P 60
Date d'inscription : 06/05/2010
Re: Code erreur ?
par Invité 29/11/2020, 02:23
Salut Bernard,
OUI, si le site web est sécurisé par un certificat il est appelé avec httpS, ensuite les browsers actuels savent gérer ce certificat et notamment si il est expiré. Et oui un certificat expire, généralement annuellement. Il y a une dizaine d'année on pouvait les acheter pour 3 ans max mais terminé maintenant c'est payer plein pot chaque année. Les certificats "racine" (ceux qui peuvent réémettre des certificats) ne sont plus délivré et une poignée de chanceux tiennent le marché (principalement des ricains). Il y a 15 ans j'ai essayé d'en obtenir un pour mon groupe (Lagardère) sans succès car les contraintes réglementaires (accréditations) étaient déjà trop forte.
Quand la connexion est faite avec le site le browser indique une icone d'un cadenas. Cliquez dessus et vous aurez le détail du certificat et plein d'infos intéressantes dont certaines sont compréhensibles par un néophyte. A date toutes les clés publiques des sites httpS sont en RSA 2048 soit l'équivalent d'un mot de passe de 2 Mo de long servant dans l'algorithme. En fait le certificat sert à valider auprès du client qu'il est bien le site qu'il prétend être. Le client crypte la connexion au site avec la clé publique du site. Si c'est le bon site la connexion se fera si c'est une usurpation cela échouera. Sur le principe ce n'est pas plus compliqué. Par contre le serveur n'est jamais sûr de "l'identité" du client. Ce peut être un pirate qui va tenté de le hacker.
Donc un certificat de site permet dans un 1er temps de rassurer le client par rapport au site, mais aussi d'avoir un échange totalement crypté avec le serveur. Si je prend l'exemple de notre site VSA qui n'est pas crypté (les vilains !) cela veut dire que potentiellement quand tu te connectes quelqu'un pourrait intercepter ton user/mot de passe lors de ta connexion (même cas qu'avec la messagerie sur du wifi publique).
Et si tu es gros couillon et que tu as mis le même mot de passe que sur ta messagerie ... Alors, t'es vraiment un gros couillon..
Pour les certificats, si tu veux des précisions, pas de problème.
Tu peux toujours en prendre un juste pour essayer la technique. Prend un certificat pour fichier, le plus simple à appréhender. Tu pourras échanger un fichier crypté avec quelqu'un qui a aussi un certificat. échanger avec qq qui n'a pas de certificat est possible aussi mais un peu plus compliqué.
Sinon pour comprendre simplement :
quand tu acquières un certificat tu reçois deux choses , une clé privée et une clé publique. L'une ne va pas sans l'autre , elles sont "complémentaires". Comme son nom l'indique la clé privée doit être gardée au secret et ne jamais être distribuée. La clé publique est celle que tu diffuseras à tous ceux avec qui tu es susceptible d'échanger ( A eux de stocker ton certificat sur leur machine, voir plus bas) .
Ensuite comment ca marche :
dans l'exemple je veux t'envoyer un fichier crypter à toi seul. Je prend ta clé publique et je crypte le fichier en utilisant ta clé publique et ma clé privée et je t'envoie le fichier. A la réception tu décrypte le fichier en utilisant ma clé publique et ta clé privée.
Le fait d'utiliser ta clé publique m'assure que seul toi peux déchiffré grâce à ta clé privée et toi à la réception déchiffre en utilisant ta clé privée mais aussi ma clé publique gage que c'est bien moi qui t'ais crypté le fichier.
C'est pas plus compliqué. Et si personne n'a nos clés privée c'est confidence absolue.
Si le destinataire n'a pas de certificat on peut s'en sortir en utilisant un "mot de passe" (pas vraiment le bon terme) qui sera en fait la clé de cryptage privée et publique du destinataire. Il faudra bien sûr transmettre cette clé au destinataire par une autre voie que celle du fichier concerné. Ensuite le processus est quasi le même.
Dernier point, sous windows pour gérer les certificats tu peux utiliser un composant prévu pour dans la console MMC.
Exécuter >> MMC, quand la console est ouverte onglet Fichier > ajouter/supprimer un composant... , une fenêtre s'ouvre , choisir " Certificats", valider et là tu auras accès à tous les certificats déjà stockés sur ta machine.
Tout est classé selon la nature du certificat , et il y a du monde. Tu verras les fameux certificat Racine. Je prenais nos certificats chez Certinomis en direct car délivrance européenne et pas américaine ( certificats américain interdit aux entreprises du cac 40 par le gouvernement Français, contrôle par la DGSI)
Voila déjà quelques infos pour ne pas s'y perdre, j'espère quelles te seront utile pour te lancer. Mais honnêtement, sauf dans certains usages pro l'usage d'un certificat privé perso n'est pas encore utile. Je n'ai même pas renouveler le mien faute de besoin, c'est pour te dire.
Pour la sensibilité à la sécurité informatique cela fait au moins 40 ans que je fais de la prophylaxie dans ce sens. J'ai débuté ma carrière dans l'ingénierie de sécurité des gros systèmes IBM, bien avant les PC et compagnie dont j'ai accompagné le développement (parcs de plusieurs milliers de machines) puis en passant par la VOIP pour finir dans les réseaux fibre et satellites des grands groupes Français. Donc je connais un peu le sujet quand on parle de sécurité.
OUI, si le site web est sécurisé par un certificat il est appelé avec httpS, ensuite les browsers actuels savent gérer ce certificat et notamment si il est expiré. Et oui un certificat expire, généralement annuellement. Il y a une dizaine d'année on pouvait les acheter pour 3 ans max mais terminé maintenant c'est payer plein pot chaque année. Les certificats "racine" (ceux qui peuvent réémettre des certificats) ne sont plus délivré et une poignée de chanceux tiennent le marché (principalement des ricains). Il y a 15 ans j'ai essayé d'en obtenir un pour mon groupe (Lagardère) sans succès car les contraintes réglementaires (accréditations) étaient déjà trop forte.
Quand la connexion est faite avec le site le browser indique une icone d'un cadenas. Cliquez dessus et vous aurez le détail du certificat et plein d'infos intéressantes dont certaines sont compréhensibles par un néophyte. A date toutes les clés publiques des sites httpS sont en RSA 2048 soit l'équivalent d'un mot de passe de 2 Mo de long servant dans l'algorithme. En fait le certificat sert à valider auprès du client qu'il est bien le site qu'il prétend être. Le client crypte la connexion au site avec la clé publique du site. Si c'est le bon site la connexion se fera si c'est une usurpation cela échouera. Sur le principe ce n'est pas plus compliqué. Par contre le serveur n'est jamais sûr de "l'identité" du client. Ce peut être un pirate qui va tenté de le hacker.
Donc un certificat de site permet dans un 1er temps de rassurer le client par rapport au site, mais aussi d'avoir un échange totalement crypté avec le serveur. Si je prend l'exemple de notre site VSA qui n'est pas crypté (les vilains !) cela veut dire que potentiellement quand tu te connectes quelqu'un pourrait intercepter ton user/mot de passe lors de ta connexion (même cas qu'avec la messagerie sur du wifi publique).
Et si tu es gros couillon et que tu as mis le même mot de passe que sur ta messagerie ... Alors, t'es vraiment un gros couillon..
Pour les certificats, si tu veux des précisions, pas de problème.
Tu peux toujours en prendre un juste pour essayer la technique. Prend un certificat pour fichier, le plus simple à appréhender. Tu pourras échanger un fichier crypté avec quelqu'un qui a aussi un certificat. échanger avec qq qui n'a pas de certificat est possible aussi mais un peu plus compliqué.
Sinon pour comprendre simplement :
quand tu acquières un certificat tu reçois deux choses , une clé privée et une clé publique. L'une ne va pas sans l'autre , elles sont "complémentaires". Comme son nom l'indique la clé privée doit être gardée au secret et ne jamais être distribuée. La clé publique est celle que tu diffuseras à tous ceux avec qui tu es susceptible d'échanger ( A eux de stocker ton certificat sur leur machine, voir plus bas) .
Ensuite comment ca marche :
dans l'exemple je veux t'envoyer un fichier crypter à toi seul. Je prend ta clé publique et je crypte le fichier en utilisant ta clé publique et ma clé privée et je t'envoie le fichier. A la réception tu décrypte le fichier en utilisant ma clé publique et ta clé privée.
Le fait d'utiliser ta clé publique m'assure que seul toi peux déchiffré grâce à ta clé privée et toi à la réception déchiffre en utilisant ta clé privée mais aussi ma clé publique gage que c'est bien moi qui t'ais crypté le fichier.
C'est pas plus compliqué. Et si personne n'a nos clés privée c'est confidence absolue.
Si le destinataire n'a pas de certificat on peut s'en sortir en utilisant un "mot de passe" (pas vraiment le bon terme) qui sera en fait la clé de cryptage privée et publique du destinataire. Il faudra bien sûr transmettre cette clé au destinataire par une autre voie que celle du fichier concerné. Ensuite le processus est quasi le même.
Dernier point, sous windows pour gérer les certificats tu peux utiliser un composant prévu pour dans la console MMC.
Exécuter >> MMC, quand la console est ouverte onglet Fichier > ajouter/supprimer un composant... , une fenêtre s'ouvre , choisir " Certificats", valider et là tu auras accès à tous les certificats déjà stockés sur ta machine.
Tout est classé selon la nature du certificat , et il y a du monde. Tu verras les fameux certificat Racine. Je prenais nos certificats chez Certinomis en direct car délivrance européenne et pas américaine ( certificats américain interdit aux entreprises du cac 40 par le gouvernement Français, contrôle par la DGSI)
Voila déjà quelques infos pour ne pas s'y perdre, j'espère quelles te seront utile pour te lancer. Mais honnêtement, sauf dans certains usages pro l'usage d'un certificat privé perso n'est pas encore utile. Je n'ai même pas renouveler le mien faute de besoin, c'est pour te dire.
Pour la sensibilité à la sécurité informatique cela fait au moins 40 ans que je fais de la prophylaxie dans ce sens. J'ai débuté ma carrière dans l'ingénierie de sécurité des gros systèmes IBM, bien avant les PC et compagnie dont j'ai accompagné le développement (parcs de plusieurs milliers de machines) puis en passant par la VOIP pour finir dans les réseaux fibre et satellites des grands groupes Français. Donc je connais un peu le sujet quand on parle de sécurité.
Invité- Invité
Re: Code erreur ?
par GORDINI 07 29/11/2020, 07:20
Bonjour
Serge, j'ai fait passer les forums dont je suis l'admin en HTTPS sans problème.
Par contre pour les VSA, Stéphane n'a pas pu le faire (je ne sais pas pourquoi)
au même moment, il y a eu un gros plantage du forum (je ne sais pas si cause à effet)
(il faut dire que le forum des VSA est accolé à un site avec de nombreuses docs, celà a-t'il une incidence?)
bref !
je côtoie d'autres forums où la manœuvre n'a pas été faite (je le sais parce que mon anti-virus me signale le forum comme n'étant pas sécurisé (idem les VSA quand je dois me re-connecter tous les 15 jours)
a+
JP
Serge, j'ai fait passer les forums dont je suis l'admin en HTTPS sans problème.
Par contre pour les VSA, Stéphane n'a pas pu le faire (je ne sais pas pourquoi)
au même moment, il y a eu un gros plantage du forum (je ne sais pas si cause à effet)
(il faut dire que le forum des VSA est accolé à un site avec de nombreuses docs, celà a-t'il une incidence?)
bref !
je côtoie d'autres forums où la manœuvre n'a pas été faite (je le sais parce que mon anti-virus me signale le forum comme n'étant pas sécurisé (idem les VSA quand je dois me re-connecter tous les 15 jours)
a+
JP
____________________________________________
GORDINI 07- Modérateur
- Nombre de messages : 75930
Localisation : MANDUEL(GARD)
Age : 69
Tracteurs : MF 142A Lamborghini 340
Date d'inscription : 01/06/2007
Re: Code erreur ?
par Capblanc 29/11/2020, 10:06
Bonjour ,
Grand merci, Serge, pour les précisions...vu ton parcours, tu connais le sujet sur le bout des doigts
"Mais honnêtement, sauf dans certains usages pro l'usage d'un certificat privé perso n'est pas encore utile. Je n'ai même pas renouveler le mien faute de besoin, c'est pour te dire. "
Je ne vais donc pas jouer au malin , j'ai assez à faire autre part, merci du conseil.
En passant, je découvre que Firefox a une option "https only" dans sa version 83 ...utile. Perso, j'utilise Chrome et j'apprécierais cette faculté.
Bon, en discutant avec toi, ça me remet en mémoire la nécessité de rafraîchir mes connaissances périodiquement.
Dernière question -pour le moment-, existe-t-il un autre moyen que les certificats pour obtenir le S au bout du http ?
Bernard.
Grand merci, Serge, pour les précisions...vu ton parcours, tu connais le sujet sur le bout des doigts
"Mais honnêtement, sauf dans certains usages pro l'usage d'un certificat privé perso n'est pas encore utile. Je n'ai même pas renouveler le mien faute de besoin, c'est pour te dire. "
Je ne vais donc pas jouer au malin , j'ai assez à faire autre part, merci du conseil.
En passant, je découvre que Firefox a une option "https only" dans sa version 83 ...utile. Perso, j'utilise Chrome et j'apprécierais cette faculté.
Bon, en discutant avec toi, ça me remet en mémoire la nécessité de rafraîchir mes connaissances périodiquement.
Dernière question -pour le moment-, existe-t-il un autre moyen que les certificats pour obtenir le S au bout du http ?
Bernard.____________________________________________
"Trouver est une étape, Chercher est le chemin."
Capblanc- Grand fan du forum
- Nombre de messages : 3401
Localisation : Gers
Age : 70
Tracteurs : Renault 551 - Tracto MF50B - Transporter Goldoni 336 - Bungartz T5 - Holder P 60
Date d'inscription : 06/05/2010
Re: Code erreur ?
par Invité 29/11/2020, 17:32
Salut ,
Bernard, ben non, pas de certificat pas de http "S"ecure.
Chrome en version 81 devait déjà bannir les sites non httpS, mais voilà on en est à la version 87 et si ils font ça ils se ferment à beaucoup d'utilisateurs car de trop nombreux sites ne sont pas aux normes de sécurité que tentent d'imposer les éditeurs de browser. Ils ont déjà imposé l'augmentation de la taille de la clé de cryptage, une bonne chose, mais transparente pour l'utilisateur. Ce sont les administrateur de sites qui ont du changer les certificats pour des "aux normes". Là interdire l'accès aux sites non Secure c'est une autre histoire. Le plus virulents perdra ses utilisateurs au profit des autres browser.
Chrome se contente de donner l'info devant l'URL . un verrou tout va bien, un triangle "attention" le site est non sécurisé ( donc ne taper pas de mot de passe, pas de n° de carte etc ..) , il y a aussi "info" qui est entre les deux.
Normalement si il est bien configuré un site Secure répondra à une requête http (sans S) mais tu constatera que la page de réponse à basculée automatiquement en Secure (httpS)
Jean-Pierre, les forums comme VSA sont des solutions "Habillées" (de PUB) et sont en réalité développé en PHP, il n'y a aucune raison de ne pas pouvoir passer en HttpS ecure. Maintenant en regardant le forum de support du fournisseur "ForumActif" il semble que des sites se soient plantés lors de la bascule. A la place de Stéphane je posterai le problème au support pour obtenir une solution car vous n'avez pas accès au code source de ces forums. Pour le certificat ils semblent tous pris chez LetsEncrypt, c'est gratuit.. Je pense qu' il est généré automatiquement lors de la bascule. Voila ce que je peux en dire sans plus d'info.
Let's encrypt fournit des certificats gratuits pour des sites Web. Ils sont les seuls à le faire à ma connaissance. Le point a savoir est que cette organisation n'a rien de philanthropique. Si vous remonté vers la source vous trouvez ISRG dont le board est constitué de David Nalley (Amazon) Richard Barnes (Cisco) Vicky Chin (Mozilla) J. Alex Halderman (Univ. of Michigan) Ryan Hurst (Google) Yueting Lee (Facebook) Rich Salz (Akamai) pour ne citer que les principaux.
Donc pour un forum comme VSA on s'en fout que le certificat soit créé par les ricains mais dans d'autres cas il faut faire très attention. Quand je vous dis qu'Internet c'est la jungle !
Bernard, ben non, pas de certificat pas de http "S"ecure.
Chrome en version 81 devait déjà bannir les sites non httpS, mais voilà on en est à la version 87 et si ils font ça ils se ferment à beaucoup d'utilisateurs car de trop nombreux sites ne sont pas aux normes de sécurité que tentent d'imposer les éditeurs de browser. Ils ont déjà imposé l'augmentation de la taille de la clé de cryptage, une bonne chose, mais transparente pour l'utilisateur. Ce sont les administrateur de sites qui ont du changer les certificats pour des "aux normes". Là interdire l'accès aux sites non Secure c'est une autre histoire. Le plus virulents perdra ses utilisateurs au profit des autres browser.
Chrome se contente de donner l'info devant l'URL . un verrou tout va bien, un triangle "attention" le site est non sécurisé ( donc ne taper pas de mot de passe, pas de n° de carte etc ..) , il y a aussi "info" qui est entre les deux.
Normalement si il est bien configuré un site Secure répondra à une requête http (sans S) mais tu constatera que la page de réponse à basculée automatiquement en Secure (httpS)
Jean-Pierre, les forums comme VSA sont des solutions "Habillées" (de PUB) et sont en réalité développé en PHP, il n'y a aucune raison de ne pas pouvoir passer en HttpS ecure. Maintenant en regardant le forum de support du fournisseur "ForumActif" il semble que des sites se soient plantés lors de la bascule. A la place de Stéphane je posterai le problème au support pour obtenir une solution car vous n'avez pas accès au code source de ces forums. Pour le certificat ils semblent tous pris chez LetsEncrypt, c'est gratuit.. Je pense qu' il est généré automatiquement lors de la bascule. Voila ce que je peux en dire sans plus d'info.
Let's encrypt fournit des certificats gratuits pour des sites Web. Ils sont les seuls à le faire à ma connaissance. Le point a savoir est que cette organisation n'a rien de philanthropique. Si vous remonté vers la source vous trouvez ISRG dont le board est constitué de David Nalley (Amazon) Richard Barnes (Cisco) Vicky Chin (Mozilla) J. Alex Halderman (Univ. of Michigan) Ryan Hurst (Google) Yueting Lee (Facebook) Rich Salz (Akamai) pour ne citer que les principaux.
Donc pour un forum comme VSA on s'en fout que le certificat soit créé par les ricains mais dans d'autres cas il faut faire très attention. Quand je vous dis qu'Internet c'est la jungle !
Invité- Invité
Re: Code erreur ?
par Capblanc 29/11/2020, 17:53
Re,
Encore merci, Serge. Des infos complètes -même si je n'ai certainement pas tout capté en profondeur pour le moment- et de première main, le top !
Tout cela mérite réflexion..
.
Heu !! "..il y a aussi "info" qui est entre les deux", que cela signifie-t-il ? semi-sécure
Cordialement,
Bernard.
Encore merci, Serge. Des infos complètes -même si je n'ai certainement pas tout capté en profondeur pour le moment- et de première main, le top !
Tout cela mérite réflexion..
.Heu !! "..il y a aussi "info" qui est entre les deux", que cela signifie-t-il ? semi-sécure
Cordialement,
Bernard.
____________________________________________
"Trouver est une étape, Chercher est le chemin."
Capblanc- Grand fan du forum
- Nombre de messages : 3401
Localisation : Gers
Age : 70
Tracteurs : Renault 551 - Tracto MF50B - Transporter Goldoni 336 - Bungartz T5 - Holder P 60
Date d'inscription : 06/05/2010
Re: Code erreur ?
par Invité 29/11/2020, 19:09
Info = pas sécure. Le seul cas sécure c'est le cadenas verrouillé.
D'après le support Google c'est quand le site répond en http (car url appelée en http) alors que le site pourrait à priori répondre en httpS.
Très rare car un site httpS bien configuré répondra à une requête http en basculant automatiquement en httpS.
Bon ils ont quand même prévu le coup. mais je vois pas trop c'est plutôt piégeant..
D'après le support Google c'est quand le site répond en http (car url appelée en http) alors que le site pourrait à priori répondre en httpS.
Très rare car un site httpS bien configuré répondra à une requête http en basculant automatiquement en httpS.
Bon ils ont quand même prévu le coup. mais je vois pas trop c'est plutôt piégeant..
Invité- Invité
Page 2 sur 2 • 1, 2
Sujets similaires» code erreur new holland g170
» code peinture som 40 b
» Comment desserrer un moteur CONORD F18A Pompe Code 120 ?
» SUIRE code RAL
» RARE EICHER
» code peinture som 40 b
» Comment desserrer un moteur CONORD F18A Pompe Code 120 ?
» SUIRE code RAL
» RARE EICHER
Page 2 sur 2
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum|
|
|