HTTPS FTW

[Satanic Dwarf]

Petite suggestion : vu que je suis en sécurité, quand je pense que mes credentials se promènent sur le net en HTTP ça me freak un peu. Déformation professionnelle, je sais, mais tout de même.

Donc est-ce qu'on pourrait avoir du HTTPS por favor?

Ça serait cool! Et puis GoDaddy par exemple vend des certificats SSL pas cher qui sont reconnus. À 40$ environ par année pour 5 ans, ça serait un update sweet http://www.godaddy.com/ssl/ssl-certificates.aspx


Et aussi de changer les ServerTokens d'Apache pour quelque chose de moins bavard, comme Prod. ^^


Qu'en pensez-vous?

[TideAvecCitron]

Petite suggestion : vu que je suis en sécurité, quand je pense que mes credentials se promènent sur le net en HTTP ça me freak un peu. Déformation professionnelle, je sais, mais tout de même.

Donc est-ce qu'on pourrait avoir du HTTPS por favor?

Ça serait cool! Et puis GoDaddy par exemple vend des certificats SSL pas cher qui sont reconnus. À 40$ environ par année pour 5 ans, ça serait un update sweet http://www.godaddy.com/ssl/ssl-certificates.aspx


Et aussi de changer les ServerTokens d'Apache pour quelque chose de moins bavard, comme Prod. ^^


Qu'en pensez-vous?

CE que je vois !!!


HEHEHEHE

[Satanic Dwarf]

HAHAHAHAH!!!

Je trouve ça crampant parce que je me dis que c'est sûrement comme ça quand je parles technique à ma tante qui me demande pourquoi son email dans Outlook Express part pas En fait, pire. Pour elle c'est du cunéiforme

Bah pareil pour moi quand vous parlez trop technique à propos des chars


En fait pour résumé mon premier post : + de sécurité svp

[TideAvecCitron]

oh yes .







SATANIC DWARF !!!


ok max j'arrete de polluer ton sujet!!
probablement dans mon top 10 de mes post les plus inutiles !!

[nka]

Pour les certificats, j'pourrais vous avoir des RapidSSL a 10$ / an (pour le MSC only).

[milius]

Je me disais pourquoi sur un site de char sur le coup
Mais après avoir réfléchit quelques secondes, j'ai bien pensé qu'il y a en fait des données sensibles de stockées sur ce site, comme notre adresse de courriel, adresse à domicile, numéro de téléphone.
Alors oui, HTTPS FTW

[Mighty Max]

Je me disais pourquoi sur un site de char sur le coup
Mais après avoir réfléchit quelques secondes, j'ai bien pensé qu'il y a en fait des données sensibles de stockées sur ce site, comme notre adresse de courriel, adresse à domicile, numéro de téléphone.
Alors oui, HTTPS FTW

je suis tres loin d'etre un pros de l'informatique(j'ecrit quand meme a 2 doight )
mais il reste que pour trouver quelqu'un,c'est pas trop dure,avec facebook et 411.ca,ou peut trouver n;importe quoi
en plus que la plupart des membre mette leur email ou numeros de telephone dans les post

je dit pas si non numero d'assurance social et numero de carte de credit etais sur le board dans nos profil personnel mas c'est pas le cas

my 2 cents

[Satanic Dwarf]

hahaha n'empêche Alex que j'ai trouvé ça crampant tes posts

Des posts comiques ça fait jamais de tord!

[Satanic Dwarf]

Je me disais pourquoi sur un site de char sur le coup
Mais après avoir réfléchit quelques secondes, j'ai bien pensé qu'il y a en fait des données sensibles de stockées sur ce site, comme notre adresse de courriel, adresse à domicile, numéro de téléphone.
Alors oui, HTTPS FTW

je suis tres loin d'etre un pros de l'informatique(j'ecrit quand meme a 2 doight )
mais il reste que pour trouver quelqu'un,c'est pas trop dure,avec facebook et 411.ca,ou peut trouver n;importe quoi
en plus que la plupart des membre mette leur email ou numeros de telephone dans les post

je dit pas si non numero d'assurance social et numero de carte de credit etais sur le board dans nos profil personnel mas c'est pas le cas

my 2 cents

Je suis d'accord. Moi aussi j'ai déjà trouvé une fille juste en connaissant son prénom, son milieu travail et la ville où elle habitait. L'internet c'est large et surtout pas anonyme du tout.

Oui il n'y a pas de numéro d'assurance sociale, seulement, reste qu'un mot de passe pour moi ça devrait toujours être protégé. J'aime pas trop l'idée que quelqu'un me pique le mien et blast tout le monde par exemple...ça pose des problème d'imputabilité.

Ça reste un forum de char, c'est pour ça que c'est une suggestion Mais HTTPS FTW quand même

[Satanic Dwarf]

Pour les certificats, j'pourrais vous avoir des RapidSSL a 10$ / an (pour le MSC only).

Je serais pas contre. Est-ce qu'ils sont reconnus par Firefox, IE, Chrome et Safari? Un avertissement de sécurité c'est pas bien mieux que pas de certificat du tout. Le spoofing c'est autant un autre danger. Si y'a pas d'avertissement, alors oui. C'est pour ça que je proposais GoDaddy, ils sont dans la liste des CA de confiance.

Reste que je veux pas l'imposer. C'est une fonctionnalité qui serait nice et que j'apprécierais (comme d'autres membres peut-être), mais vu qu'il y a de l'argent impliqué, j'aimerais que si l'idée est acceptée, qu'elle soit au moins présentée aux gens qui prennent ce genre de décisions Je veux pas être un dictateur.

[Satanic Dwarf]

Je me disais pourquoi sur un site de char sur le coup
Mais après avoir réfléchit quelques secondes, j'ai bien pensé qu'il y a en fait des données sensibles de stockées sur ce site, comme notre adresse de courriel, adresse à domicile, numéro de téléphone.
Alors oui, HTTPS FTW

Exact. Seulement attention, le HTTPS ne va pas chiffrer les informations sur le disque. Ça c'est une autre manche, et maintenant que le serveur est migré, je crois pas que c'est souhaitable de se lancer là-dedans étant donné ce que ça implique.

HTTPS ne va chiffrer que les informations en transit. Donc les PM où on donne nos # de téléphone, adresses, etc, les mots de passes, etc. Selon moi, c'est déjà beaucoup!

Cela dit, si quelqu'un part avec le serveur, toutes les informations sont là. Le chiffrement du disque ça serait cool aussi, mais là je vais pas demander ça en plus, c'est pas un serveur militaire (quoique si à la prochaine migration vous voulez le faire, sachez que je vais être très content aussi ).

De plus, le chiffrement rajoute de l'overhead sur le serveur, autrement dit, le CPU travaille plus pour chiffrer tout ce qui entre / sort. Je ne connais pas les specs / performances du serveur, alors je laisse nka en répondre, mais faut voir aussi s'il va le prendre.


Et je n'ai pas regardé les autres sites, mais ce n'est peut-être pas très commun de mettre du SSL sur un forum du genre. Donc le MSC pourrait être pionner dans la matière

[nka]

Se sont des certificats GeoTrust, donc oui, pas de warning, sauf sous Mobile.

Au pire, ya les StartSSL qui sont gratis aussi, mais moin reconnu.

[mas_oyama]

Je me disais pourquoi sur un site de char sur le coup
Mais après avoir réfléchit quelques secondes, j'ai bien pensé qu'il y a en fait des données sensibles de stockées sur ce site, comme notre adresse de courriel, adresse à domicile, numéro de téléphone.
Alors oui, HTTPS FTW

l'autre affaire aussi, c'est carrément les credentials eux même... On est sur un site de char, oui... Mais ben du monde ont les memes credentials partout... Personellement, J'ai 3-4 passwords que je me sert dans certaines situations, dependamment du niveau de sécurité requis...

Mais pour ceux qui on un seul login et un seul password partout... se faire voler son login MSC... c'est aussi se faire voler son login de paypal, de compte de banque pis de ebay... pas forcément cool...

[Satanic Dwarf]

Je me disais pourquoi sur un site de char sur le coup
Mais après avoir réfléchit quelques secondes, j'ai bien pensé qu'il y a en fait des données sensibles de stockées sur ce site, comme notre adresse de courriel, adresse à domicile, numéro de téléphone.
Alors oui, HTTPS FTW

l'autre affaire aussi, c'est carrément les credentials eux même... On est sur un site de char, oui... Mais ben du monde ont les memes credentials partout... Personellement, J'ai 3-4 passwords que je me sert dans certaines situations, dependamment du niveau de sécurité requis...

Mais pour ceux qui on un seul login et un seul password partout... se faire voler son login MSC... c'est aussi se faire voler son login de paypal, de compte de banque pis de ebay... pas forcément cool...

Il y a ça aussi, mais je n'avais pas voulu l'écrire, parce que c'est pas une bonne pratique du tout

Ça reste un cas de figure très réel, et cela rejoint ce que l'on disait plus haut : si je trouve ton mot de passe MSC, avec un peu de recherche je peux peut-être trouver ton Facebook. Avec ton Facebook, je peux peut-être trouver ton email et avec ton email je peux peut-être voir quelle banque tu utilises. etc. etc.


(oh damn, mon 1300e post est relié à ma job! Ça me suit définitivement partout!)

[Satanic Dwarf]

Se sont des certificats GeoTrust, donc oui, pas de warning, sauf sous Mobile.

Au pire, ya les StartSSL qui sont gratis aussi, mais moin reconnu.

Oui les GeoTrust ça serait cool.

Jusqu'à un certain point, pas obligé de faire un redirect / rewrite. Ça serait mieux pour forcer le tout, mais pour ceux avec les téléphones ça va peut-être ralentir ou être fatiguant.

Mais juste savoir que je pourrais faire https://www.montreal-subaru-club.com ça serait génial Ah oui, et pour tout le forum, pas juste la page d'authentification ^^


La dépense est autorisée?