Freezone S'inscrire

Passage de tout le site en HTTPS pour une navigation sécurisée

Votes 29

Mettre en place la connexion sécuriser avec un certificat SSL pour une utilisation du site : https://www.universfreebox.com.

A l'heure actuelle, le login et mot de passe passe en clair sur le réseau. Pas trés sécuriser.

Merci


ID 000097 date 28/06/2017 Type Evolution Catégorie Univers Freebox Etat En cours de débat Sévérité Haute Priorité Basse Navigateur Chrome/Chromium Version du navigateur Votes 29

Pelot a posté ce commentaire le 29/06/2017 à 15h07
Ok avec cette demande pour rassurer des visiteurs peu avertis ...
ademangel (administrateur) a posté ce commentaire le 7/07/2017 à 17h15
Bonjour, le passage en HTTPS est utile pour sécuriser des données personnelles qui transite entre Univers Freebox et votre PC. Cette méthode de communication est très utilise pour les sites de e-commerce avec de nombreuses données confidentielles à faire transiter.

Or pour Univers Freebox, nous ne stockons pas de données confidentielles, le peu de données sont vos pseudos et quelques réglages. Il n'apparaît donc pas nécessaire de passer le site en HTTPS (les parties "sensibles", comme la page d'adhésion premium est en HTTPS)
MSBOX a posté ce commentaire le 7/07/2017 à 18h26
Certes, vous ne vendez pas des produits.
Par contre vous vendez des abonnement et le faite de ne pas avoir un certificat permet à certain malins de se faire passer pour vous.
MisterDams a posté ce commentaire le 10/07/2017 à 11h28
- Les navigateurs alertent de plus en plus si le site n'est pas en HTTPS. Là c'est plutôt sur les mots de passe (car ça on le fait circuler sur ce site), ça s'étend progressivement à tous les champs de saisie et ça finira par être global. J'ai déjà un cadenas rouge barré sur cette page avec Firefox. De quoi inquiéter plus d'un novice.
- Google accorde des points supplémentaires pour le SEO des sites en HTTPS
- Let's Encrypt fourni des SSL gratuits qui demandent un peu de configuration initiale pour le renouvellement automatique, mais qui marchent très bien.

Bref, il FAUT du HTTPS
Nemskiller a posté ce commentaire le 12/07/2017 à 12h57
@ademangel : "Or pour Univers Freebox, nous ne stockons pas de données confidentielles"
Si il y a les mots de passes.

Je me connecte bêtement à Universfreebox, sur le même réseau que moi, il y a un intrus qui interceptent tous les paquets via wireshark. Il obtient rapidement mon email et mon mot de passe. Je suis assez bête pour avoir mis en login/mot de passe les mêmes sur plusieurs sites et boites mails... je suis bien dans la merde.

il FAUT du HTTPS point, c'est facile a mettre en place avec LetsEncrypt.

Et par pitié si quelqu'un à la main là dessus, il faut enlever la faute d'orthographe au titre : "securiser" par "sécurisée"

Merci
Action38 (auteur) a posté ce commentaire le 18/07/2017 à 18h35
@Nemskiller désolé pour la faute dans le titre.

En ce qui concerne le HTTPS, il me semble que de nos jours c'est très important :
- Comme le dit @Nemskiller, toutes les communications entre le site et votre PC ne sont pas cryptés.
- En ce moment qu'est ce qui me confirme que je suis bien sur le "vrai" site universfreebox pas un fake ?

Bref, voir un site en HTTPS apporte de la confiance, du professionnalisme et de la sécurité.

De plus, effectivement, maintenant avoir un site en HTTPS est devenu totalement gratuit avec LetsEncrypt.

Merci
point a posté ce commentaire le 18/07/2017 à 23h28
Etrange cette façon de botter en touche de l'administrateur.

Est-il nécessaire de rappeler de vos identfiants/mot de passe transitent aujourd'hui en clair et qu'il est à la portée d'un collégien de récupérer les trames avec potentiellement le risque de vous faire rooter ?

Est-il nécessaire de rappeler que maintenant vous avez des utilisateurs avec abonnement et que vous leur devez de sécuriser leur identifiants ?

Après, je peux comprendre qu'un certificat SSL ça peut avoir un coût homme (renouvellement tous les 90 jours pour LetsEncrypt, c'est peut être gratuit à obtenir, mais très vite fastidieux à maintenir) ou financier pour s'en payer un valide 2 ou 5 ans chez Symantec ou autre, mais votre réponse à la demande manque tout de même de professionnalisme.
wedge a posté ce commentaire le 21/07/2017 à 14h35
Let's Encrypt est gratuit, coût de maintiens 0 puisque tout est automatisable.
Pas de données personnelles, certes pas directement sur UF, mais le compte créé sur Freezone contiens bien des données personnelles (nom et prénom de l'utilisateur) qui sont a renseigné obligatoirement.
L'authentification se fait bien en HTTP ce qui présente donc un risque, même avec le mot depasse passer encrypté, il est possible de se connecter en l'interceptant (encrypté le mot de passe en passage AJAX ne le protège pas).
Enfin le HTTPS est profitable puisque les algorithmes de google favorise les sites HTTPS.
Ach!lle a posté ce commentaire le 25/07/2017 à 17h29
Bonjour,
Je vois que je suis loin d'être le seul à avoir remarqué ce problème de connexion non sécurisée. Je vais sur quelques forums et c'est uniquement UF qui n'est pas dans le coup. C'est un peu fort pour un forum se disant "partenaire" d'une entreprise à la pointe du progrès et des techniques de communications.
Ach!lle
Super Dupont a posté ce commentaire le 25/07/2017 à 17h52
Bonjour,

Parce qu'Univers Freebox affiche la volonté de centraliser tous les médias sur Freebox TV (comme par exemple pour les radios et TV par IP), avec des contacts privilégiés avec une grande partie des acteurs de l?audiovisuel, le site a le devoir moral de passer en https.
Je soutiens la proposition d'Action38.

Cdt

Bernard
Galixte a posté ce commentaire le 26/07/2017 à 01h18
Comme signalé précédemment : http://forum.universfreebox.com/viewtopic.php?p=519662#519662

C'est peut-être dû à la vieillissante version de phpBB utilisée sur le forum qui rebute l'équipe en charge du forum.

Version de phpBB utilisée sur le forum : http://forum.universfreebox.com/docs/CHANGELOG.html | Sa publication publication date de 2006 ! http://forums.phpbb-fr.com/annonces-a-lire/sujet105682.html
Sindri a posté ce commentaire le 26/07/2017 à 04h16
TOUT les sites comportant un login et un mot de passer DOIVENT être sécurisés !
Actuellement, firefox, entre autre, affiche un message assez anxiogène lors de la saisie du login sur un site non sécurisé et ce n'est qu'une étape, tout les acteurs du web forcent les sites à se sécuriser.
Les utilisateurs non avertis (c'est à dire la majorité) sont tentés d'éviter ce genre de site ou tout du moins de se demander ce qu'il se passe et ils ont tout à fait raison !

vous devez être connecté pour commenter.