Merci Johan ta réponse m'agrée totalement Le 23/05/12 20:05, Johan Cwiklinski a écrit : Salut, Le 23/05/2012 19:36, André Lefranc a écrit :bonjour, un de mes adhérents, qui s'inquiète de la sécurité de ses données personnelles, probablement informaticien, m'écrit : A propos de la sécurité des serveurs accessibles d’internet, le programmeur aussi talentueux qu’il soit ne peut palier les défauts du protocole qui n’a pas été pensé en tenant compte de cet aspect . Les nom et mot de passe sont véhiculés par le navigateur dans le header http à chaque envoi , et l’authentification va se répéterC'est inexact, en ce qui concerne Galette. L'envoi du mot de passe en clair vers le serveur s'effectue à deux endroits uniquement : - lors du login, - lors du changement de mot de passe. Une fois la session ouverte, d'autres mécanismes prennent le relai et le mot de passe n'est alors plus retransmis (encore une fois, en ce qui concerne Galette. D'autres logiciels pourraient oeuvrer différemment).Pourait-on passer à https ? au prix de quoi ?HTTPS est lui aussi loin d'être exempt de tout défaut... Bien que considérablement plus sécurisé tout de même. Cela relève de la configuration du serveur, mettre en place du HTTPS n'est pas très compliqué ; le reste se jouera au niveau du certificat qui sera soit "officiel" (délivré par certains organismes, et payants -- un peu comme les banques et les sites de vente en ligne), soit "maison". Dans le second ca,s il provoquera des messages d'erreurs dans les navigateurs actuels indiquant que la connexion n'est pas fiable. Il doit y avoir de la documentation sur wikipedia sur le sujet du SSL, je n'ai pas de référence sous la main. En ce qui concerne Galette, SSL ou pas, ça ne change rien. Note: le coup du SSL/pas SSL se pose chaque fois que l'on entre un login/mot de passe sur le web, sur des sites comme Galette, Fesse-Bouc ou Gmail (en espérant que les deux derniers passent automatiquement en SSSL [à vérifier pour les curieux dans la barre de navigation de votre butineur]), mais aussi dans n'importe quel client email. ++ |