bonjour,
un de mes adhérents, qui s'inquiète de la sécurité de ses données personnelles, probablement informaticien, m'écrit :


A propos de la sécurité des serveurs accessibles d’internet, le programmeur aussi talentueux qu’il soit ne peut palier les défauts du protocole qui n’a pas été pensé en tenant compte de cet aspect .

Les nom et mot de passe sont véhiculés par le navigateur dans le header http à chaque envoi , et l’authentification va se répéter automatiquement, un peu comme si dans une conversation téléphonique une information confidentielle était répétée à chaque phrase pour faciliter l’écoute.. sans que celui qui parle ne l’entende.

Il n’y a pas d’authentification fiable avec http, je l’ai expérimenté en faisant un travail classique d’installation , debugging, de serveur http avec protection de pages (non https).

Il y a encore peu de temps la CNIL donnait de vrais conseils sur son site, aujourd’hui vive le business tout a disparu.

Il est plus facile de brandir des menaces contre les anonymous, que je vois comme d’honnêtes gens sans langue de bois, que d’afficher clairement les règles du jeu.

Vous en pensez quoi ?

Pourait-on passer à https ? au prix de quoi ?



_______________________________________________
Galette-devel mailing list
Galette-devel@gna.org
https://mail.gna.org/listinfo/galette-devel

Répondre à