Loading...

Faille de sécurité | Forum

kmzer0
kmzer0 Mar 20 '19

Bonjour,


Je ne suis pas un spécialiste, donc si j'ai vu la faille de sécurité c'est qu'elle est tel un éléphant dans un couloir.

Les logins mots de passe sont saisi en http et non https : donc il n'y a aucun cryptage ce qui rend très facile l'aspiration de tous les login mots de passe vu qu'il circule en clair (une peu comme si on envoyait notre code de carte bleu sur une carte postale).


Après je ne sais pas comment fonctionne oxwall une option à activé ? je l'ignore. Mais ce qui est étonnant c'est que ce soit possible de publier le site comme cela.


j'espère qu'une solution sera trouvé et croisons les doigts en attendant...


Super idée ce site


Édité par kmzer0 Mar 20 '19
Partager
Wovokaa
Wovokaa Mar 20 '19

Salut,

je suis inscrit sur différents forums, cela depuis de très nombreuses années, et aucun n'a d'identification sécurisée, pourtant je n'ai jamais rencontré le moindre problème, l'utilisateur vient en clair, le mot de passe lui est crypté...



kmzer0
kmzer0 Mar 24 '19

Le mot de passe est crypté dans la base de donnée enfin il faut l'espérer, mais il circule en clair sur internet. C'est un peu écrire son code de carte bleu sur la carte. Personnellement ça fait plus de 10 ans que je vois plus de formulaire en http, ils sont tous en https. Je pense qu'on ne parle pas de la même chose.

Enfin la faille est signalé.


Kangoovan
Kangoovan Mar 27 '19
Le passage en https n'est utile que pour les sites e-commerce où on entre sa carte bleue ou des données très sensibles. Pour les autres, aucune utilité réelle. Je ne vois pas ce que tu entends par "le mot de passe circule en clair", je n'y ai moi même pas accès en zone admin vu qu'ils sont cryptés.
Faut arrêter un peu la parano sur ces questions : j'ai géré de nombreux sites depuis 1996, aucun n'était en https, et aucun n'a connu d'attaque de hackers. A savoir aussi que l'imposition du https est surtout une vaste opération commerciale, puisque c'est une manip coûteuse qui oblige d'acheter des certificats chez des majors du Net, et implique d'employer un développeur pour le mettre en place.
Bref, on se calme et on boit frais, ça commence à être la saison 
kangoo77
kangoo77 Mar 29 '19

Citation de Kangoovan Le passage en https n'est utile que pour les sites e-commerce où on entre sa carte bleue ou des données très sensibles. Pour les autres, aucune utilité réelle. Je ne vois pas ce que tu entends par "le mot de passe circule en clair", je n'y ai moi même pas accès en zone admin vu qu'ils sont cryptés.
Faut arrêter un peu la parano sur ces questions : j'ai géré de nombreux sites depuis 1996, aucun n'était en https, et aucun n'a connu d'attaque de hackers. A savoir aussi que l'imposition du https est surtout une vaste opération commerciale, puisque c'est une manip coûteuse qui oblige d'acheter des certificats chez des majors du Net, et implique d'employer un développeur pour le mettre en place.
Bref, on se calme et on boit frais, ça commence à être la saison 

Hello, tu peux obtenir un certificat SSL gratis en passant par là : https://letsencrypt.org/

c'est ce que j'utilise, ça marche sans problème.

La tendance depuis quelques années c'est de passer tous les sites en HTTPS même s'ils ne sont pas des sites d'e-commerce.

et puis ça fait un peu plus 'pro' ... le https :-)


bonne route.


HI
Stickers, mugs & goodies vanlife & Kangoovan !