Messages: 23074

Enregistré le: 19 Avr 2002

Message le Jeu Jan 29, 2015 11:51

Google a les moyens de vous obliger à passer votre site en HTTPS :x
Haut
15 Réponses
Messages: 3286

Enregistré le: 3 Mai 2004

Message le Jeu Jan 29, 2015 12:49

Cela ne concerne que ceux qui font des sites pour Google... Les autres ne verront même pas cette icône. :mrgreen:

Jean-Luc
Haut
Messages: 1438

Enregistré le: 11 Déc 2012

Message le Jeu Jan 29, 2015 14:19

Je ne vois pas en quoi cette icône avec un cadenas et une croix rouge peut me faire passer à https.

Pas sécurisé? Et alors? Faire du ski ce n'est pas sécurisé, sortir de chez soi non plus, y rester pas toujours très sécurisé non plus.
Bref, faut être grave pour passer son site en https à cause de raisons comme ça.

D'ailleurs comme précisé dans l'article : "ce n'est pas parce que le site est en HTTPS qu'il est "sécurisé" à tous niveaux (on doit pouvoir trouver des sites HTTPS moins sécurisés que certains en HTTP)"

Donc l'icône ne doit pas être lue comme "non sécurisé" mais plutôt comme "non https" c'est tout.
Haut
Messages: 1604

Enregistré le: 26 Fév 2004

Message le Jeu Jan 29, 2015 14:25

C'est surtout pour les e-commerçant que ça va avoir un impact, difficile d'expliquer aux gens qu'ils peuvent commander en «toute confiance» avec un tel symbole.

Pour ce qui est du reste, ça coûte si peu de nos jours d'activer HTTPS, que c'est vrai que c'est dommage de s'en priver. Un certificat, c'est gratuit par exemple chez StartSSL.
Haut
Messages: 1399

Enregistré le: 12 Jan 2010

Message le Jeu Jan 29, 2015 17:30

Sauf que, un site qui n´a pas de zone membre, qui ne vend rien etc... pourquoi se faire **** à passer en https
Haut
Messages: 37919

Enregistré le: 7 Juil 2004

Message le Jeu Jan 29, 2015 19:34

Bonjour,

+1 avec Patapon87. Et le HTTPS n'est que le haut de l'iceberg. J'ai expliqué le pourquoi via un article : lien.

Je ne vais pas m'éterniser sur ce sujet et me répéter (déjà trop souvent débattu). :)

Cordialement.
Haut
Messages: 1604

Enregistré le: 26 Fév 2004

Message le Ven Jan 30, 2015 14:43

HTTPS n'est pas forcément suffisant pour assurer la sécurité d'un site, c'est évident oui, mais en tous cas sans HTTPS on n'a pas la moindre garantie d'être sur le bon site/serveur, et on est certain que le trafic peut être vu par n'importe quel quidam sur le même réseau que soit.

Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.

Maintenant est-ce nécessaire partout ? Bien sûr que non, mais ça devrait probablement être plus répandu, notamment pour les espaces membres comme les forums.
Haut
Messages: 727

Enregistré le: 18 Nov 2010

Message le Ven Jan 30, 2015 15:04

Madrileño a écrit:+1 avec Patapon87. Et le HTTPS n'est que le haut de l'iceberg. J'ai expliqué le pourquoi via un article : lien.

Ce qui va être drôle dans l'histoire, c'est le deuxième effet kisscool du HTTPs. Car quand un site se fera hacker et transformé en plateforme de récolte de données, l'utilisateur qui arrivera sur ce site verra le beau cadenas bien vert et sera convaincu du bien fondé du contenu …

Bool a écrit:Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.

Ce n'est pas parce la communication entre deux téléphones est sécurisée que tu es sur de celui qui est au bout du fil.
Haut
Messages: 37919

Enregistré le: 7 Juil 2004

Message le Ven Jan 30, 2015 20:26

Bonjour,

En effet Blount c'est très amusant (surtout quand on sait que c'est déjà arrivé). :)

Cordialement.
Haut
Messages: 1604

Enregistré le: 26 Fév 2004

Message le Ven Jan 30, 2015 20:41

Blount a écrit:
Bool a écrit:Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.

Ce n'est pas parce la communication entre deux téléphones est sécurisée que tu es sur de celui qui est au bout du fil.


Mais... de quoi tu parles ?

Le système de certificat indique explicitement que oui, le serveur qui te répond a effectivement le droit de se faire appeler forum.webrankinfo.com. Pas plus, pas moins, mais c'est déjà beaucoup. Bref, il ne s'agit pas seulement de chiffrer le transfert : l'usurpateur pourrait en faire autant. Par contre l'usurpateur en question ne peut pas se faire passer pour forum.webrankinfo.com, à moins d'hacker réellement les serveurs de WRI.

Tandis que sans HTTPS, (presque) n'importe qui peut faire ça dans un McDo, une université, etc.
Haut
Messages: 727

Enregistré le: 18 Nov 2010

Message le Ven Jan 30, 2015 22:13

Justement, c'est le coté serveur (plus précisément le site en question) hacké que je veux mettre en avant.
Tu as beau avoir un certificat signé, si le hacker (où cracker d'ailleurs) place un fichier proxy, bah tu n'as plus le bon interlocuteur.
En gros, dans ce schéma : A => B => C
A, le client, se connecte sur B en chiffré/signé et B "redirige" les requêtes vers C.
Et bien entendu, A est persuadé de communiquer avec le "bon" interlocuteur.

Ça c'est pour bien te faire comprendre ce que j'essaie d'expliquer, mais le cracker n'aura qu'à modifier les fichiers de B bien entendu.

Mais effectivement, le HTTS empêche quelqu'un de se mettre entre A et B et de lire ce qu'ils se disent.
Haut
Messages: 1604

Enregistré le: 26 Fév 2004

Message le Sam Jan 31, 2015 2:23

Alors oui, si quelqu'un a essayé de vous vendre HTTPS comme une solution protégeant vos serveurs, c'était clairement une erreur. Mais pour ma part je n'ai jamais lu ça où que ce soit.
HTTPS sert à éviter que quelqu'un entre votre poste et le véritable serveur n'intercepte/modifie/écoute les communications. C'est tout.

Après on peut discuter de l'efficacité des CA dans ce rôle, mais clairement la sécurité du serveur n'a rien à voir à l'histoire.
Haut
Messages: 727

Enregistré le: 18 Nov 2010

Message le Sam Jan 31, 2015 10:16

Tu as pourtant bien dit dans un de tes postes qu'avec un certificat on etait sur d'avoir le bon interllcuteur. C'est avec ce point que je ne suis pas d'accord.
Haut
Messages: 1604

Enregistré le: 26 Fév 2004

Message le Sam Jan 31, 2015 10:38

Je maintiens ce point, le système de CA garantie que le serveur avec qui tu fais l'échange est bien celui que tu veux.
Mais évidement, ça ne peut pas garantie que le serveur en question n'ait pas été compromis.
Haut
Messages: 498

Enregistré le: 23 Fév 2013

Message le Sam Jan 31, 2015 11:17

Les avantages du HTTPS ne font pas de doute.
Par contre sur un site HTTPS, Adsense n'affiche pas les pubs (ou sites ?) qui ne sont pas HTTPS, donc ça veut dire une perte de revenus pour les sites qui utilisent Adsense.
Haut
Messages: 9031

Enregistré le: 22 Nov 2003

Message le Dim Fév 01, 2015 22:31

Bool a écrit:HTTPS n'est pas forcément suffisant pour assurer la sécurité d'un site, c'est évident oui, mais en tous cas sans HTTPS on n'a pas la moindre garantie d'être sur le bon site/serveur, et on est certain que le trafic peut être vu par n'importe quel quidam sur le même réseau que soit.

Bref, HTTPS ça apporte un niveau de confidentialité supplémentaire aux échanges, et ça permet d'être sûr d'avoir le «bon» interlocuteur.

Maintenant est-ce nécessaire partout ? Bien sûr que non, mais ça devrait probablement être plus répandu, notamment pour les espaces membres comme les forums.


Excellent post que j'ai reco (surtout par rapport aux autres réponses ... y compris quelques anneries).
Petit rappel sur les transferts internet de données.

http: les transactions ... demande -> envoi des données.
https: demande -> envoi d'une clé ->réception de la clé de celui qui demande->nouvelle demande et vérification de la clé pour chaque demande suivante ... sécurisé? une fois la clé réceptionnée ... pas de problèmes (je schématise): première connexion, récupération de la clé et ... accès.

Les mécanismes sont un peu plus complexes pour des sites VRAIMENT sécurisés (voire sur Google Kerberos par exemple) mais pour les autres ... Google en https, c'est juste pour cacher les requêtes
Bool a écrit:Je maintiens ce point, le système de CA garantie que le serveur avec qui tu fais l'échange est bien celui que tu veux.
Mais évidement, ça ne peut pas garantie que le serveur en question n'ait pas été compromis.

Effectivement ...

Mais ca ne garantit pas que le serveur n'est pas hacké.
Haut