bonjour,
un de mes adhérents, qui s'inquiète de la sécurité de ses données
personnelles, probablement informaticien, m'écrit :
A propos de la sécurité des serveurs accessibles d’internet, le
programmeur aussi talentueux qu’il soit ne peut palier les défauts du
protocole qui n’a pas été pensé en tenant compte de cet aspect .
Les nom et mot de passe sont véhiculés par le navigateur dans le header
http à chaque envoi , et l’authentification va se répéter
automatiquement, un peu comme si dans une conversation téléphonique une
information confidentielle était répétée à chaque phrase pour faciliter
l’écoute.. sans que celui qui parle ne l’entende.
Il n’y a pas d’authentification fiable avec http, je l’ai expérimenté en
faisant un travail classique d’installation , debugging, de serveur http
avec protection de pages (non https).
Il y a encore peu de temps la CNIL donnait de vrais conseils sur son
site, aujourd’hui vive le business tout a disparu.
Il est plus facile de brandir des menaces contre les anonymous, que je
vois comme d’honnêtes gens sans langue de bois, que d’afficher
clairement les règles du jeu.
Vous en pensez quoi ?
Pourait-on passer à https ? au prix de quoi ?
[Galette-devel] sécurité des données sous http