mailRe: [Galette-devel] sécurité des données sous ht tp


Others Months | Index by Date | Thread Index
>>   [Date Prev] [Date Next] [Thread Prev] [Thread Next]

Header


Content

Posted by André Lefranc on May 24, 2012 - 19:52:
Merci Johan ta réponse m'agrée totalement

Le 23/05/12 20:05, Johan Cwiklinski a écrit :
Salut,

Le 23/05/2012 19:36, André Lefranc a écrit :
bonjour,
un de mes adhérents, qui s'inquiète de la sécurité de ses données
personnelles, probablement informaticien, m'écrit :

A propos de la sécurité des serveurs accessibles d’internet, le
programmeur aussi talentueux qu’il soit ne peut palier les défauts du
protocole qui n’a pas été pensé en tenant compte de cet aspect .

Les nom et mot de passe sont véhiculés par le navigateur dans le header
http à chaque envoi , et l’authentification va se répéter
C'est inexact, en ce qui concerne Galette. L'envoi du mot de passe en
clair vers le serveur s'effectue à deux endroits uniquement :
- lors du login,
- lors du changement de mot de passe.

Une fois la session ouverte, d'autres mécanismes prennent le relai et le
mot de passe n'est alors plus retransmis (encore une fois, en ce qui
concerne Galette. D'autres logiciels pourraient oeuvrer différemment).


Pourait-on passer à https ? au prix de quoi ?
HTTPS est lui aussi loin d'être exempt de tout défaut... Bien que
considérablement plus sécurisé tout de même.

Cela relève de la configuration du serveur, mettre en place du HTTPS
n'est pas très compliqué ; le reste se jouera au niveau du certificat
qui sera soit "officiel" (délivré par certains organismes, et payants --
un peu comme les banques et les sites de vente en ligne), soit "maison".
Dans le second ca,s il provoquera des messages d'erreurs dans les
navigateurs actuels indiquant que la connexion n'est pas fiable. Il doit
y avoir de la documentation sur wikipedia sur le sujet du SSL, je n'ai
pas de référence sous la main.

En ce qui concerne Galette, SSL ou pas, ça ne change rien.

Note: le coup du SSL/pas SSL se pose chaque fois que l'on entre un
login/mot de passe sur le web, sur des sites comme Galette, Fesse-Bouc
ou Gmail (en espérant que les deux derniers passent automatiquement en
SSSL [à vérifier pour les curieux dans la barre de navigation de votre
butineur]), mais aussi dans n'importe quel client email.

++


_______________________________________________
Galette-devel mailing list
Galette-devel@xxxxxxx
https://mail.gna.org/listinfo/galette-devel


Related Messages


Powered by MHonArc, Updated Thu May 24 20:00:07 2012