[IMPORTANT] Nouvelle version du forum

[webmaster]

A quand le https ?

Pour ?

 

[l'arPitre]

Pour ?

Euh... parce qu'en 2017 il n'est plus acceptable d'envoyer son mot de passe en clair tout simplement. Et pour les utilisateurs qui se connectent depuis un hotspot public ou d'entreprise c'est encore pire.
Le HTTPS est maintenant la norme, c'est devenu gratuit et très facile à mettre en place avec Let's Encrypt par exemple et de plus les navigateurs commencent a envoyer des alertes (firefox developpeur et chrome par exemple). Et je ne pense pas que google s'arrête au juste "Not secure" dans la barre d'adresse, ils franchiront un jour le pas de ce qu'ils promettent depuis quelques temps, c'est à dire un impact sur le classement google.
Alors pourquoi pas ?

 

[webmaster]

Euh... parce qu'en 2017 il n'est plus acceptable d'envoyer son mot de passe en clair tout simplement. Et pour les utilisateurs qui se connectent depuis un hotspot public ou d'entreprise c'est encore pire.
Le HTTPS est maintenant la norme, c'est devenu gratuit et très facile à mettre en place avec Let's Encrypt par exemple et de plus les navigateurs commencent a envoyer des alertes (firefox developpeur et chrome par exemple). Et je ne pense pas que google s'arrête au juste "Not secure" dans la barre d'adresse, ils franchiront un jour le pas de ce qu'ils promettent depuis quelques temps, c'est à dire un impact sur le classement google.
Alors pourquoi pas ?

Je pourrai te sortir un argumentaire de 2h à haute voix pour t'expliquer pourquoi il n'est pas encore judicieux de passer au HTTPS, en tous cas sur ce forum. Je suis chef de projet web depuis des années, je connais parfaitement le sujet
J'ai d'ailleurs piloté et orchestré les refontes du site actuel de l'usap et de usap boutique.
Juste pour finir, le https n'influe pas encore sur le classement des SERP, et changer vers le https implique une modification de toutes les URL, et donc un déclassement justement
Pour les notices navigateur, c'est vrai, par contre, la sécurisation du mot de passe ca ne sert fondamentalement à rien... les soucis ne viennent jamais ds serveurs, sauf comme lors de la faille heartbleed d'openssl. Le souci viennent Toujours d'une infection locale de la machine.
On en parlera en mp si tu veux.

 

[butifare]

On en parlera en mp si tu veux.

A ce propos,j'ai un contentieux avec un utilisateur du forum(rien de bien méchant) et j'aimerai bien le contacter par MP histoire de lui faire comprendre la nature de mon message (amical) qu'il n'a visiblement pas compris.
J'ai beau chercher,je trouve pas ou j'ai manqué un épisode...
merci d'avance pour ton aide.

 

[l'arPitre]

Je pourrai te sortir un argumentaire de 2h à haute voix pour t'expliquer pourquoi il n'est pas encore judicieux de passer au HTTPS, en tous cas sur ce forum. Je suis chef de projet web depuis des années, je connais parfaitement le sujet

Etant ingénieur en cyber sécurité, je serais curieux de les entendre. Bien sur je n'attend pas de raison fonctionnelle mais bien accès sécurité.

Pour les notices navigateur, c'est vrai, par contre, la sécurisation du mot de passe ca ne sert fondamentalement à rien... les soucis ne viennent jamais ds serveurs, sauf comme lors de la faille heartbleed d'openssl. Le souci viennent Toujours d'une infection locale de la machine.

Pas très bien compris ce passage, qu'entends tu par sécurisation du mot de passe ? Le fait de le hasher ?
La faille heartbleed permet de lire en clair les données en mémoire du serveur, là je parlais uniquement d'un simple sniff du réseau (donc pas d'obligation d'infection d'un côté comme de l'autre).
De plus chaque partie doit prendre ses responsabilités, on ne peut pas se reposer sur le fait que la machine de l'utilisateur pourrait être infecté ça n'a pas de sens. Par exemple combien de bases de données fuitent chaque mois par injection sql par exemple ?

Moi je proposais juste l'idée de le mettre en place vu que c'est gratuit. Maintenant oui la migration http -> https demande un peu de travail et d'organisation avec les redirections et le search console notamment... C'est toi le boss, tu gères le forum comme bon te semble (suivant tes moyens, temps, etc).

 

[webmaster]

Etant ingénieur en cyber sécurité, je serais curieux de les entendre. Bien sur je n'attend pas de raison fonctionnelle mais bien accès sécurité.



Pas très bien compris ce passage, qu'entends tu par sécurisation du mot de passe ? Le fait de le hasher ?
La faille heartbleed permet de lire en clair les données en mémoire du serveur, là je parlais uniquement d'un simple sniff du réseau (donc pas d'obligation d'infection d'un côté comme de l'autre).
De plus chaque partie doit prendre ses responsabilités, on ne peut pas se reposer sur le fait que la machine de l'utilisateur pourrait être infecté ça n'a pas de sens. Par exemple combien de bases de données fuitent chaque mois par injection sql par exemple ?

Moi je proposais juste l'idée de le mettre en place vu que c'est gratuit. Maintenant oui la migration, http -> https demande un peu de travail et d'organisation avec les redirections et le search console notamment... C'est toi le boss, tu gères le forum comme bon te semble (suivant tes moyens, temps, etc).

On finira par en parler en MP, mais je ne parlais pas sur de la technique pure et dure, en effet ça évite le sniff et c'est toujours plus sécurisé, mais dans le cas du forum, quand j'ai fait la refonte avec le cms XENFORO à la place de vbulletin, si j'avais eu les infos de notices chrome etc, j'aurai bascule en https lors de la refonte, là jai google qui digère les 60 000 URL indexées, si je les change trop souvent je vais flinguer totalement le référencement naturel.
Pour search console ça ne pose pas de soucis c'est enfantin, on peut meme s'en passer si on fait proprement le boulot.
J'y passerai peut-être à l'intersaison, parce que ça provoquera forcément de nombreux bugs, il suffit que des ressources aient des URL absolues au lieu de relatives et des fonctions ou éléments graphiques sauteront, ca va être carnage
Et tu as raison pour les piratages, c'est du non stop, et encore je me suis fait aidé par le directeur de l'enseignement de l'imerir qui m'a fait des configurations sécu au niveau du debian 8.
****** je voulais en parler en mp et je réponds comme ça... je dois filer, j'te mp dans la semaine ou ce soir si jsuis pas naze !

 

[BurroDan]

'Tin!
Quand les manitous du secret industriel débarquaient dans les projets il y a 15 20 ans j'étais largué.
Messieurs, après 10 ans à la retraite : devinez !

 

[Cata'tonique]

Je kiffe ces échanges : de la vraie poésie 2.0