Wa-ouh... Enfin !!!

C'est pas trop tôt !!!

Goog news !

Eh eh !!! Merci pour les dédicaces !!! A mon avis, FREE a mis au point le HTTPS en vue de faire pareil lorsqu'ils sortiront leur site FREE Mobile ! On peut néanmoins leur reprocher de ne pas faire comme le site de la Banque Postale qui passe tout eh HTTPS...

On est le 1er avril ou quoi? Ou alors c'est un un miracle, un mirage ... ah non je dois rever :)

Ah, il etait temps...

Et tant qu'a faire ils peuvent en faire de même pour le mail .. bah on me donne une main je demande le bras comme tt le monde :p

Effectivement c'est très bon ça !!!

Même si comme le dis "jeremy57" l'ensemble n'est pas chiffré, mais l'authentification c'est vraiment le plus important, car sur ce point là Free était vraiment à l'arrache complet !!!

jeremy57 a écrit

Eh eh !!! Merci pour les dédicaces !!! A mon avis, FREE a mis au point le HTTPS en vue de faire pareil lorsqu'ils sortiront leur site FREE Mobile ! On peut néanmoins leur reprocher de ne pas faire comme le site de la Banque Postale qui passe tout eh HTTPS...

1 le login est sécurisé mais la suite de la navigation ne l'est pas

et du coup firefox ne me remets pas la saisie auto de toutes les freebox que je gère ...

Reste à l'implémenter pour le webmail. (zimbra par exemple).

On peut néanmoins leur reprocher de ne pas faire comme le site de la Banque Postale qui passe tout eh HTTPS...

Absolument d'accord avec toi jeremy57, de plus je ne pense pas que ce soit compliquer à mettre en œuvre.

A quand le déblocage des destinations internationales pour les appels en SIP?

c'est pas faux

Ah ben voila pour mon trousseau d'accés sous MAC ce midi se demander pourquoi la page n'était pas la bonne :p

Ué, maintenant ! FreeGo ne fonctionne plus :s

Ce n'etait pas vraiment une faille de secu de ne pas etre en https, faudrait deja avoir quelqu'un qui ecoute le reseau pour etre inquiété, c'est un plus mais faut pas deconner, on fait d'un dos d'ane une montagne

Pourquoi tout n'est-il pas en HTTPS de nos jours ?

Ah bah ouais, il était temps ! Et peut-être que Free devrait aussi communiquer sur les attaque au phishing dont les freenautes font régulièrement l'objet ! Ok, ça n'a pas à voir, mais quite à bien faire...

Très bonne chose.

punaise si longtemps pour taper une ligne dans un terminal c'est pas des rapides :)

Anonyme a écrit

Reste à l'implémenter pour le webmail. (zimbra par exemple).

Reste à implémenter toute l'interface de gestion en HTTPS. Seule la page de connexion est sécurisée...

Anonyme a écrit

punaise si longtemps pour taper une ligne dans un terminal c'est pas des rapides :)

...et pour se payer les certificats auprès de Equifax. Ce ne sont pas des certificats auto-signés à la open-ssl.

Anonyme a écrit

Pourquoi tout n'est-il pas en HTTPS de nos jours ?

besoin de plus de ressources CPU client, besoin de plus de ressources CPU serveurs, utilisation de la bade passante suppérieur a cause de l'encapsulation, gestion des certificats.....

deadeye3783 a écrit

Anonyme a écrit Pourquoi tout n'est-il pas en HTTPS de nos jours ? besoin de plus de ressources CPU client, besoin de plus de ressources CPU serveurs, utilisation de la bade passante suppérieur a cause de l'encapsulation, gestion des certificats.....

A cela, on peut ajouter aussi le coup du HTTPS qui n'est pas gratuit... Mais il me semble que FREE gère ses propres bases de données... Je pense que d'ici quelques moins, nous allons avoir le droit à une refonte complète de leur site afin d'accueillir la partie mobile !

Bonjour. Alors oui ce qui est chiant c'est de devoir se rentrer les mots de passes à la main.

Bonne initiative !

J'ai parlé trop vite , il faut rerentrer tous les identifiants et les mots de passe si on s'occupe de plusieurs comptes Free et on peut les avoir automatiquement comme avant.

Rhem a écrit

Ah bah ouais, il était temps ! Et peut-être que Free devrait aussi communiquer sur les attaque au phishing dont les freenautes font régulièrement l'objet ! Ok, ça n'a pas à voir, mais quite à bien faire...

Oui mais bon..faut savoir se prendre par la main...j'en reçoit pour les banques dans lesquelles je n'ai jamais eu de compte, et même pour les Fai chez qui je ne suis pas.

perso kaspersky s'occupe de tout cela direct

Super, FreeRecord ne peut plus se connecter !!!!

Comme il a était dit il n'y a que le login qui est sécurisé en HTTPS, vu que le SSL ne sécurise que le transport on est simplement assuré de ne pas se faire piquer notre login et notre mot de passe durant l'identification. Mais le souci c'est qu'aucune des autres pages n'est sécurisée y compris la page permettant de changer le mot de passe.

Dans un sens c'est plutôt inutile. Il n'y a plus à croiser les doigts pour toute communication de notre compte free soit sécruisée dans un futur proche.

loupio a écrit

Rhem a écrit Ah bah ouais, il était temps ! Et peut-être que Free devrait aussi communiquer sur les attaque au phishing dont les freenautes font régulièrement l'objet ! Ok, ça n'a pas à voir, mais quite à bien faire...   Oui mais bon..faut savoir se prendre par la main...j'en reçoit pour les banques dans lesquelles je n'ai jamais eu de compte, et même pour les Fai chez qui je ne suis pas. perso kaspersky s'occupe de tout cela direct

1 loupio, faut pas cliquer sur tout ce qui bouge, free vous contactera jamais pour vous demander vos identifiant ou vos coordonnées bancaire, et si il le faisait, ça sera par courrier et pas par mail... Sinon, il suffit d'avoir de bon dns (ceux de free fonctionne très bien) et ils vous alertent de site contrefais.

Enfin, le https n'est pas trop utile, j'ai rarement entendu parler de personne qui s'étaient fait pirater leur compte free... Je pense que c'est pour ça que free ne l'a pas fait avant.

Bref ça reste tout de même une bonne évolution 

edit: le n'est pas passé... donc c'etait 1 loupio ^^

bon bah ça passe vraiment pas, le 'plus' ne passe pas... étrange...

Xer a écrit

bon bah ça passe vraiment pas, le 'plus' ne passe pas... étrange...

J'avais quand même suivis.......

Il était temps, avec tous les phisshing reçu cela fait 10 ans que ça aurait du être fait.

jeremy57 a écrit

    Je pense que d'ici quelques moins, nous allons avoir le droit à une refonte complète de leur site afin d'accueillir la partie mobile !


    D'ici quelques mois? oui 24... 24 mois c'est à coté, c'est demain!!

lmp a écrit

Il était temps, avec tous les phisshing reçu cela fait 10 ans que ça aurait du être fait.  

1000, mais comment ne peuvent ils pas l'avoir fait avant ????

Pour madame michu ca ne change pas grand chose, il est rare qu'elle configure sa freebox (.) depuis allieurs que chez elle.

Pour les pros c'est plutôt rasssurant, sachant pour mon cas que je suis habilité a gerer les freebox, mais que je n'administre (ma boite) pas toujours le réseau sur lequel je me connecte pour le faire, pour peu que il y ai un sniffeur sur le réseau et c'est BAISé.Les informations avant, étaient envoyées en clair (!!!) (comme le pop classique), Bref merci FREE, des que tu fais cela pour ton pop/imap/smtp, promis j'utilise ma boite mail chez toi plutôt que chez big brother.

PS: et qu'on viennent pas me dire que le MD5 est difficilement reversible : le probleme ne s'est jamais situé chez free (en tout cas j'ose imaginer), c'est entre mme michu et Free que ca peut merder , parfois meme chez mme michu mais via l'ordi de clara la petite fille....Donc c'est que du bon.

Azerty.PhilCo a écrit

jeremy57 a écrit    Je pense que d'ici quelques moins, nous allons avoir le droit à une refonte complète de leur site afin d'accueillir la partie mobile !    D'ici quelques mois? oui 24... 24 mois c'est à coté, c'est demain!!  

Commentaire très constructif... Parce que vous pensez peut-être qu'ils vont s'atteler à la conception le jour où l'offre sortira?

en même temps, https ne sécurise que le transport alors vu que seule la page de login est sécurisée il y a pas grand interet. quand vous allez sur une site de banque, de commerces ou même de webmail c'est l'ensemble des pages relatives à vos données personnelles qui sont normalement sécurisées et pas uniquement le point d'entrée.

olivier a écrit

en même temps, https ne sécurise que le transport alors vu que seule la page de login est sécurisée il y a pas grand interet. quand vous allez sur une site de banque, de commerces ou même de webmail c'est l'ensemble des pages relatives à vos données personnelles qui sont normalement sécurisées et pas uniquement le point d'entrée.

Peut-être que FREE a l'intention de généraliser le https, espérons-le du moins !

Effectivement c'est très bon ça !!!

jeremy57 a écrit

(...) A cela, on peut ajouter aussi le coup du HTTPS qui n'est pas gratuit... Mais il me semble que FREE gère ses propres bases de données... Je pense que d'ici quelques moins, nous allons avoir le droit à une refonte complète de leur site afin d'accueillir la partie mobile !

Je suis d'accord avec toi, jeremy57 et je dirais même plus : le coût des certifications HTTPS est LA raison pour laquelle le protocole par défaut est le HTTP sur internet. Les certificats auto-signés présentent des inconvénients dans certains processus de contrôle de l'autorité de certification (Navigateurs web, FTP-S...) et souvent on by-pass complètement les avertissements (ce qui peut représenter un certain risque). 

Alors désolé, je ne vois pas le rapport avec le fait que Free gère ses bases de données et encore moins l'intégration de la partie mobile.

http://www.stats-degroupage.fr/35360VIT

dommage que la connection reste pas securisé lorsque l on consulte sa console de gestion,la porte reste donc ouverte au pirates

Allez free tu a encore de nombreux effort à faire......

Bonjour,

sympa le HTTPS, cependant, une fois loggué, on se retrouve en http sur adsl.free.fr (facture fax, relevés de communications ...) ou tout passe en clair, dommage mais pour ma part, y a encore du mieux à faire, mais c'est vrai, d'un premier pas.

Cordialement,

deadeye3783 a écrit

Anonyme a écrit Pourquoi tout n'est-il pas en HTTPS de nos jours ? besoin de plus de ressources CPU client, besoin de plus de ressources CPU serveurs, utilisation de la bade passante suppérieur a cause de l'encapsulation, gestion des certificats.....

Quand on utilise les services de Google, on peut tout passer en https si l'on veut et cela marche très bien ! ! !

(gmail, gtalk, google.doc, google.site . . .)

c'est une évolution attendue depuis très ,très longtemps . un peu a la bourre Free, là ,sur le coup.

c'est bien FREE sa, toujours a faire les trucs a moitié " il mets un digicode a la porte et laisse les fenêtres ouverte "

ludovicflash a écrit

c'est bien FREE sa, toujours a faire les trucs a moitié " il mets un digicode a la porte et laisse les fenêtres ouverte "

Et pour en rajouter une couche, on peut comparer avec SFR qui a toute la gestion du compte client qui est en mode "https" et pas seulement le mot de passe initial. Et bien sur également tout le webmail SFR

Je trouve que la gestion de la sécurité des informations clients fait un peu application pour les débutants avec le système actuel ! ! !

A propos des coûts supposés de https ou http ssl, en même temps la mise en place par elle même ne coupe rien.

Il existe des systèmes SSL open source, je dirai même qu'ils seraient même plus rassurants qu'un systéme propriétaire, De toute maniére c'est les secret de la clé qui doit être préservé plus que l'algorythme de chiffrement.

Ensuite il existe aussi des certificats ssl gratuit et de toute maniére c'est le même certificat qui est utilisé tout au long de la consultation; alors si le https est utilisé sur une page autant qu'il le soit sur celles qui suivent.

pepone a écrit

Super, FreeRecord ne peut plus se connecter !!!!

Tien essaye celui la :)

et super pour auth ssl freerox :)

http://dl.free.fr/qKe0l39D1

j'ai modifié l'addon le temps que son créateur fasse une update... c'est pas méchant ;)

et sa remarche je l'ai fait pour moi autant le faire profité! bye

olivier a écrit

Ensuite il existe aussi des certificats ssl gratuit

c'est clair, ça ferait super sérieux pour une société comme free d'utilisé un truc gratuit tiens

Ouh pinaise, ça fait des années que je suis abonné à Free. Va falloir faire la chasse au vieux mails d'il y a5-6 ans pour remettre la main sur les PASS ! Super... Tout ça pour juste se faire plaisir le temps du login

Ils ont de la chance chez Free on sécurise leurs données et les pirates n'iront pas y mettre leur nez, chez Alice ça n'est pas la peine de sécuriser, on peu perdre 4 mois de messagerie (depuis la migration de novembre) sans que personne chez Alice ou chez Free s'en inquiète (on vous raccroche au nez, c'est plus simple)... alors les pirates, s' ils retrouvent les mails, ils seront presque les bienvenus.

Au fait combien reste t'il encore d'abonnés chez Alice ?

Bonjour, c'est bien ça progresse mais cela m'a créé d'autres problème FreeRecord (PC) ne fonctionne plus il affiche : Problème technique sur la Console Free, veuillez réessayer plus tard ok, par contre cela semble fonctionner sur le portail Free, attendons un peu cela va se ranger.

M@tsumot0 a écrit

pepone a écrit Super, FreeRecord ne peut plus se connecter !!!!   Tien essaye celui la :) et super pour auth ssl freerox :) http://dl.free.fr/qKe0l39D1 j'ai modifié l'addon le temps que son créateur fasse une update... c'est pas méchant ;) et sa remarche je l'ai fait pour moi autant le faire profité! bye

Bonjour, M@tsumot0 grâce à ton lien mon FreeRecord fonctionne à nouveau, merci. @mitié reno69

c'est un plaisir, bonne nuit ;)

Bonsoir,

Je pense que d'autre l'on déjà dit mais comme seul la page de connexion est concernée et pas le reste on peut toujours se connecter avec des liens du type :

http://subscribe.free.fr/login/login.pl?login=0102030405&pass=mypassword

Sans m'y connaître suffisament en sécurité pour émettre un avis d'expert il me semble néanmoins que cela présente un certain risque...

Néanmoins cette démarche va dans le bon sens, reconnaissons-le.

Remarque annexe : petite suggestion de sondage pour UF à l'intention de ses lecteurs : combien de compte Freebox gérez-vous ?

1 - Le mien

2 - Le mien celui de mes parents (ou de ma boîte)...

3 - Le mien celui de mes parents mes grands-parents

4 - Le mien celui de mes parents mes grands-parents Tata Lucienne (a.k.a. Mâme Michu)

10 et plus - Papa, Maman, la bonne et moi . Euh...  Moi et tous les pas-trop-geek à qui j'ai conseillé Free.

Perso, je dois en être à 8. Ca fait petit-bras pour un pirate non ?

K.

robin.74 a écrit

deadeye3783 a écrit Anonyme a écrit Pourquoi tout n'est-il pas en HTTPS de nos jours ? besoin de plus de ressources CPU client, besoin de plus de ressources CPU serveurs, utilisation de la bade passante suppérieur a cause de l'encapsulation, gestion des certificats..... Quand on utilise les services de Google, on peut tout passer en https si l'on veut et cela marche très bien ! ! ! (gmail, gtalk, google.doc, google.site . . .)

je sais, mes comptes le sont depuis un bout de temps déja ;)

the chris a écrit

c'est une évolution attendue depuis très ,très longtemps . un peu a la bourre Free, là ,sur le coup.

Je n'avais même pas fait attention ! Rétrospectivement , ça craint. Au vue de tous les actions de piratages qui peuvent exister, je me demande qu'elle était la probabilité de ce faire piquer le mot de passe.

Du coup, je suis allé voir sur d'autres sites, genre la sncf: le formulaire est bien envoyé en HTTPS (la page de démarrage ne l'est pas mais ce n'est pas important).

Olivier a écrit

(...) Mais le souci c'est qu'aucune des autres pages n'est sécurisée y compris la page permettant de changer le mot de passe.Dans un sens c'est plutôt inutile. (...)

Ca s'appelle faire les choses à moitié ! Pas très pro tout cela

C'est une très bonne nouvelle pour vous, clients et utilisateurs de ce site.?

Le HTTPS c’est quoi ?
C’est un protocole qui crypte les données échangées entre votre poste informatique et un serveur grâce au certificat ssl 3.0 et une clé de 2048 bits par exemple.

Exemple :
Vous entrez vos identifiants et mots de passe : ok personne n’interceptera ces données sauf la personne a coté de vous, ou le hacker qui laissera un keylogger (enregistreur de frape).

Pour le pirate le HTTPS est une aubaine il va pouvoir agir sur le site sans être inquiété et pouvoir injection au lieu d’identifiant et mot de passe par exemple il pourra injections de codes javascript (xss) ou sql (sql injection). Suivant le niveau de sécurité du certificat, le pirate pourra casser cette sécurité et intercepter plus facilement les données.

Si la partie protégés par HTTPS contient une partie du site vulnérable à ce type d’attaques (il en existe beaucoup d’autre) celui-ci pourrait plus tard être piégé par le pirate.

Free ne pourra plus intercepté en amont cela sauf si les devants sont pris, ce que je doute vu que ce que je trouve sur les différents domaines qui leur appartiennent.

A quand la même chose pour les mails ?

Micky a écrit

Ué, maintenant ! FreeGo ne fonctionne plus :s

C'est étonnant, car le script http://subscribe.free.fr/login.pl est accessible en clair (HTTP). Il y a juste un renvoi permanent de la page à la racine http://subscribe.free.fr vers https://subscribes.free.fr

Après authentification, on passe en HTTP sur adsl.free.fr

Donc, normalement, les identifiants sont envoyés en paramètres d'URL sur le script login.pl ...FreeGo devrait fonctionner. J'ai une application FreeboxFax sous Mac, et le passage en SSL n'a rien changé.

consultant expert en informatique a écrit

(...)Pour le pirate le HTTPS est une aubaine (...)

Désolé, mais dans ce que tu dis, ce n'est pas le HTTPS qui est une aubaine, mais les failles sur les injections de codes.

encore une modif en aveugle sans préparation :

toutes les applications satellites ne peuvent plus se connecter

les dev vont encore travailler à l'arrache!

bon courage

Il était temps, même sur la Frrebox TV où le code apparait à un certain endroit, donnant accès aux enfants par exemple au code parental…

krigatobal a écrit

Bonsoir,   Je pense que d'autre l'on déjà dit mais comme seul la page de connexion est concernée et pas le reste on peut toujours se connecter avec des liens du type : http://subscribe.free.fr/login/login.pl?login=0102030405&pass=mypassword Sans m'y connaître suffisament en sécurité pour émettre un avis d'expert il me semble néanmoins que cela présente un certain risque... Néanmoins cette démarche va dans le bon sens, reconnaissons-le.   Remarque annexe : petite suggestion de sondage pour UF à l'intention de ses lecteurs : combien de compte Freebox gérez-vous ? 1 - Le mien 2 - Le mien celui de mes parents (ou de ma boîte)... 3 - Le mien celui de mes parents mes grands-parents 4 - Le mien celui de mes parents mes grands-parents Tata Lucienne (a.k.a. Mâme Michu) 10 et plus - Papa, Maman, la bonne et moi . Euh...  Moi et tous les pas-trop-geek à qui j'ai conseillé Free.   Perso, je dois en être à 8. Ca fait petit-bras pour un pirate non ?   K.  

Je gere une 15aine de comptes Free (autant d'abonnés que j'ai apportés à Free). Cela inclus parents, grand parents, freres/soeurs, et qq amis.

Évidemment ils ont aussi leur accès mais vu qu'il ne savent pas trop s'en servir... Et puis ca me permet de leur activer des options sécurisées au mieux (mode routeur, désactiver l'upnp, wifi wpa2 etc)

C'est toujours mieux qu'avant, bonne nouvelle..

jeremy57 a écrit

Eh eh !!! Merci pour les dédicaces !!! A mon avis, FREE a mis au point le HTTPS en vue de faire pareil lorsqu'ils sortiront leur site FREE Mobile ! On peut néanmoins leur reprocher de ne pas faire comme le site de la Banque Postale qui passe tout eh HTTPS...

Non ça consomme trop de ressources le SSL généralisé, bon point pour l'authentification en tout cas.
Je pense surtout aux personnes qui se connectent depuis leurs lieux de travail/hotspot/résidence étudiante.
Ça va les sécuriser

Je rejoins mr.tux concernant les ressources. Il y a une augmentation des ressources consommés sur le serveur WEB a cause du SSL. Connaissant free pour ces économies, cela est donc logique.

Par contre pour ceux qui disent que le HTTPS ne sert pas forcement, c'est que vous ne vous connectez jamais à un réseau Wifi ouvert.

A une époque Hotmail.fr n'était pas sécurisé ... bah via wifi on voyait très très bien login/mdp. C'est juste que peu de gens se connecte à leur interface Free depuis un réseau publique.

C'est de l'amateurisme, free ratrappe ses erreurs dans son coin, sans prevenir personne et resultat balance le truc sans faire de test de regression : bilan toute les applications des freenautes sont encore plantées. franchement c'est relou de chez relou tous ces bugs. Son pas tres malins, ces pseudo geeks qui bossent chez free. Resultat encore une mauvaise pub pour free : "Les applications freenautes inopérantes" http://www.freenews.fr/spip.php?article7933 (a force cela va finir par se savoir :-(   )

Ils ont engagé un stagiaire ? mdr !

Ca se fait en 5 minutes ce genre de modif' au niveau d'apache...

négatif c'est pas à jour votre news, car mon compte est toujours en HTTP

Anonyme a écrit

C'est de l'amateurisme, free ratrappe ses erreurs dans son coin, sans prevenir personne et resultat balance le truc sans faire de test de regression : bilan toute les applications des freenautes sont encore plantées. franchement c'est relou de chez relou tous ces bugs. Son pas tres malins, ces pseudo geeks qui bossent chez free. Resultat encore une mauvaise pub pour free : "Les applications freenautes inopérantes" http://www.freenews.fr/spip.php?article7933 (a force cela va finir par se savoir :-(   )

Arrêtes de raconter n'importe quoi. Free n'est pas là pour torcher les fesses des développeurs d'applications tiers. Ils n'ont qu'à aussi dialoguer un peu plus avec Free.

consultant expert en informatique a écrit

C'est une très bonne nouvelle pour vous, clients et utilisateurs de ce site.?Le HTTPS c’est quoi ? C’est un protocole qui crypte les données échangées entre votre poste informatique et un serveur grâce au certificat ssl 3.0 et une clé de 2048 bits par exemple.Exemple : Vous entrez vos identifiants et mots de passe : ok personne n’interceptera ces données sauf la personne a coté de vous, ou le hacker qui laissera un keylogger (enregistreur de frape).Pour le pirate le HTTPS est une aubaine il va pouvoir agir sur le site sans être inquiété et pouvoir injection au lieu d’identifiant et mot de passe par exemple il pourra injections de codes javascript (xss) ou sql (sql injection). Suivant le niveau de sécurité du certificat, le pirate pourra casser cette sécurité et intercepter plus facilement les données.Si la partie protégés par HTTPS contient une partie du site vulnérable à ce type d’attaques (il en existe beaucoup d’autre) celui-ci pourrait plus tard être piégé par le pirate.Free ne pourra plus intercepté en amont cela sauf si les devants sont pris, ce que je doute vu que ce que je trouve sur les différents domaines qui leur appartiennent.

A te lire, on voit bien que tu n'es que consultant et pas du tout informaticien. Désolé de te dire ca.

steph10200 a écrit

Bonjour,   sympa le HTTPS, cependant, une fois loggué, on se retrouve en http sur adsl.free.fr (facture fax, relevés de communications ...) ou tout passe en clair, dommage mais pour ma part, y a encore du mieux à faire, mais c'est vrai, d'un premier pas.   Cordialement,

C'est la partie authentification qu'il fallait sécuriser.

Pas l'intégralité de la console.

Le protocole HTTPS est gourmand et nécessite des ressources pour crypter les pages.

euh depuis le changement il refuse mon login/pass meme quand celui ci viens du mail de free de mail perdu :-(

quelqu'un a ce soucis?

zehunter a écrit

euh depuis le changement il refuse mon login/pass meme quand celui ci viens du mail de free de mail perdu :-(   quelqu'un a ce soucis?

Je suis allé sur mon compte pour programmer un enregistrement à distance, ça marche bien

Il ne faut pas confondre les deux étapes que sont l'authentification, et le cryptage (en français "chiffrage") des données qui transitent.

1 - L'authentification du serveur (Free) par un client (FireFox) peut se faire par exemple si Free achete un certificat auprès d'une autorité de certification (comme Verisign, ...). C'est ça qui coute cher, du moins pour un particulier.

Le client peut valider le certificat du serveur car il possede une copie des autorités de certification (des certificats des organismes comme Verisign) qui ont servi à créer le certificat su serveur.

L'authentification permet d'être sûr de l'identité du site auquel on se connecte. Par contre quand le client demande à l'utilisateur d'accepter le certificat qui n'est pas valide : AU SECOURS l'utilisateur en général accepte et PAF-la-sécurité c'est fini.

2 - Le chiffrage des données transmises, de type SSL (AES et tralala) empêche de façon sûre que qlq'un puisse comprendre ce qui passe dans le fil.

Le protocole utilisé pour le chiffrage utilise un certificat serveur et un certificat client, mais ceux-ci peuvent être "auto-signés", c'est à dire que chacun est une "autorité de certification" seulement pour lui-même. Ils ne peuvent alors pas servir à vérifier l'identité du serveur ni du client, ils servent uniquement comme clef pour chiffrer les données transmises.

Les certificats auto-signés permettent donc l'attaque "man in the middle" où un intrus se place entre le serveur et le client lorsque la communication initialise le protocole, et participe avec chaque côté à l'échange des clefs auto signées. Tous ce qui transite chez l'intrus peut alors être visible en clair et PAF-la-sécurité c'est fini.

Conclusion

Cela coute-t-il si cher à une entreprise d'acheter un certificat pour l'authentification ?

Par contre il y a un problème avec le guide des programmes.

Problème d'affichage des chaines, obligé d'aller chercher un programme ailleurs...Pas très pratique.

M@tsumot0 a écrit

pepone a écrit Super, FreeRecord ne peut plus se connecter !!!!   Tien essaye celui la :) et super pour auth ssl freerox :) http://dl.free.fr/qKe0l39D1 j'ai modifié l'addon le temps que son créateur fasse une update... c'est pas méchant ;) et sa remarche je l'ai fait pour moi autant le faire profité! bye

Merci M@tsumot0, j'ai téléchargé ton fichier mais je ne sais pas comment procéder pour l'installer.

Sando a écrit

.... Conclusion Cela coute-t-il si cher à une entreprise d'acheter un certificat pour l'authentification ? ....

La réponse est :

Pour 1 certificat non !

Mmais un certificat générique  (genre :*.mondomaine.com) n'apporte qu'une faible sécurité, pour une sécurité accrue tu te doit d'avoir un certificat par serveur, et si tu fait du virtual host, un certificat par alias que tu as sur chacun de tes serveurs.

Et c'est là que la multiplication des certificats deviens un gouffre très couteux, même pour une entreprise.

Cher pas cher c'est n'importe quoi comme réflexion.

Free met en ligne des informations confidentielles, elle doit mettre le paquet pour protéger ces informations.

Aucune considération financière ne peut être acceptée comme excuses. Aucune soit disant consommation de ressources ou autres drôleries ne peut être tolérées comme excuses.

Seul le login est en HTTPS c'est insuffisant un point c'est tout. Comme beaucoup le pense il est fortement regrettable que Free ne communique pas sur la modification.

Du travail d'amateur d'un bout à l'autre c'est tout.

pepone a écrit

M@tsumot0 a écrit pepone a écrit Super, FreeRecord ne peut plus se connecter !!!!   Tien essaye celui la :) et super pour auth ssl freerox :) http://dl.free.fr/qKe0l39D1 j'ai modifié l'addon le temps que son créateur fasse une update... c'est pas méchant ;) et sa remarche je l'ai fait pour moi autant le faire profité! bye   Merci M@tsumot0, j'ai téléchargé ton fichier mais je ne sais pas comment procéder pour l'installer.

tu efface ton addon firefox FreeRecord actuel et tu réinstalle celui que j'ai donné, c'est tout simple!

ne t'inquiète pas, sa garde en mémoire tes anciens paramètres, voila bye ;)

Mister T. a écrit

Wa-ouh... Enfin !!! C'est pas trop tôt !!!

En effet c'est pas trop tôt car j'avais vraiment honte de Free sur ce point important !

Donc merci Free enfinnnnnnnnnnnn (comme dans la pub lol)