[Galette-devel] sécurité des données sous http

[André Lefranc]

bonjour,
un de mes adhérents, qui s'inquiète de la sécurité de ses données 
personnelles, probablement informaticien, m'écrit :


A propos de la sécurité des serveurs accessibles d’internet, le 
programmeur aussi talentueux qu’il soit ne peut palier les défauts du 
protocole qui n’a pas été pensé en tenant compte de cet aspect .


Les nom et mot de passe sont véhiculés par le navigateur dans le header 
http à chaque envoi , et l’authentification va se répéter 
automatiquement, un peu comme si dans une conversation téléphonique une 
information confidentielle était répétée à chaque phrase pour faciliter 
l’écoute.. sans que celui qui parle ne l’entende.


Il n’y a pas d’authentification fiable avec http, je l’ai expérimenté en 
faisant un travail classique d’installation , debugging, de serveur http 
avec protection de pages (non https).


Il y a encore peu de temps la CNIL donnait de vrais conseils sur son 
site, aujourd’hui vive le business tout a disparu.


Il est plus facile de brandir des menaces contre les anonymous, que je 
vois comme d’honnêtes gens sans langue de bois, que d’afficher 
clairement les règles du jeu.


Vous en pensez quoi ?

Pourait-on passer à https ? au prix de quoi ?



___
Galette-devel mailing list
Galette-devel@gna.org
https://mail.gna.org/listinfo/galette-devel

Re: [Galette-devel] sécurité des données sous http

[Johan Cwiklinski]

Salut,

Le 23/05/2012 19:36, André Lefranc a écrit :
 bonjour,
 un de mes adhérents, qui s'inquiète de la sécurité de ses données
 personnelles, probablement informaticien, m'écrit :
 
 A propos de la sécurité des serveurs accessibles d’internet, le
 programmeur aussi talentueux qu’il soit ne peut palier les défauts du
 protocole qui n’a pas été pensé en tenant compte de cet aspect .
 
 Les nom et mot de passe sont véhiculés par le navigateur dans le header
 http à chaque envoi , et l’authentification va se répéter

C'est inexact, en ce qui concerne Galette. L'envoi du mot de passe en
clair vers le serveur s'effectue à deux endroits uniquement :
- lors du login,
- lors du changement de mot de passe.

Une fois la session ouverte, d'autres mécanismes prennent le relai et le
mot de passe n'est alors plus retransmis (encore une fois, en ce qui
concerne Galette. D'autres logiciels pourraient oeuvrer différemment).


 Pourait-on passer à https ? au prix de quoi ?

HTTPS est lui aussi loin d'être exempt de tout défaut... Bien que
considérablement plus sécurisé tout de même.

Cela relève de la configuration du serveur, mettre en place du HTTPS
n'est pas très compliqué ; le reste se jouera au niveau du certificat
qui sera soit officiel (délivré par certains organismes, et payants --
un peu comme les banques et les sites de vente en ligne), soit maison.
Dans le second ca,s il provoquera des messages d'erreurs dans les
navigateurs actuels indiquant que la connexion n'est pas fiable. Il doit
y avoir de la documentation sur wikipedia sur le sujet du SSL, je n'ai
pas de référence sous la main.

En ce qui concerne Galette, SSL ou pas, ça ne change rien.

Note: le coup du SSL/pas SSL se pose chaque fois que l'on entre un
login/mot de passe sur le web, sur des sites comme Galette, Fesse-Bouc
ou Gmail (en espérant que les deux derniers passent automatiquement en
SSSL [à vérifier pour les curieux dans la barre de navigation de votre
butineur]), mais aussi dans n'importe quel client email.

++
-- 
Johan



signature.asc
Description: OpenPGP digital signature
___
Galette-devel mailing list
Galette-devel@gna.org
https://mail.gna.org/listinfo/galette-devel