Freezone S'inscrire

Passage de tout le site en HTTPS pour une navigation sécurisée

Votes 41

Mettre en place la connexion sécuriser avec un certificat SSL pour une utilisation du site : https://www.universfreebox.com.

A l'heure actuelle, le login et mot de passe passe en clair sur le réseau. Pas trés sécuriser.

Merci


ID 000097 date 28/06/2017 Type Evolution Catégorie Univers Freebox Etat En cours de débat Sévérité Haute Priorité Basse Navigateur Chrome/Chromium Version du navigateur Votes 41

Pelot a posté ce commentaire le 29/06/2017 à 15h07
Ok avec cette demande pour rassurer des visiteurs peu avertis ...
ademangel (administrateur) a posté ce commentaire le 7/07/2017 à 17h15
Bonjour, le passage en HTTPS est utile pour sécuriser des données personnelles qui transite entre Univers Freebox et votre PC. Cette méthode de communication est très utilise pour les sites de e-commerce avec de nombreuses données confidentielles à faire transiter.

Or pour Univers Freebox, nous ne stockons pas de données confidentielles, le peu de données sont vos pseudos et quelques réglages. Il n'apparaît donc pas nécessaire de passer le site en HTTPS (les parties "sensibles", comme la page d'adhésion premium est en HTTPS)
MSBOX a posté ce commentaire le 7/07/2017 à 18h26
Certes, vous ne vendez pas des produits.
Par contre vous vendez des abonnement et le faite de ne pas avoir un certificat permet à certain malins de se faire passer pour vous.
MisterDams a posté ce commentaire le 10/07/2017 à 11h28
- Les navigateurs alertent de plus en plus si le site n'est pas en HTTPS. Là c'est plutôt sur les mots de passe (car ça on le fait circuler sur ce site), ça s'étend progressivement à tous les champs de saisie et ça finira par être global. J'ai déjà un cadenas rouge barré sur cette page avec Firefox. De quoi inquiéter plus d'un novice.
- Google accorde des points supplémentaires pour le SEO des sites en HTTPS
- Let's Encrypt fourni des SSL gratuits qui demandent un peu de configuration initiale pour le renouvellement automatique, mais qui marchent très bien.

Bref, il FAUT du HTTPS
Nemskiller a posté ce commentaire le 12/07/2017 à 12h57
@ademangel : "Or pour Univers Freebox, nous ne stockons pas de données confidentielles"
Si il y a les mots de passes.

Je me connecte bêtement à Universfreebox, sur le même réseau que moi, il y a un intrus qui interceptent tous les paquets via wireshark. Il obtient rapidement mon email et mon mot de passe. Je suis assez bête pour avoir mis en login/mot de passe les mêmes sur plusieurs sites et boites mails... je suis bien dans la merde.

il FAUT du HTTPS point, c'est facile a mettre en place avec LetsEncrypt.

Et par pitié si quelqu'un à la main là dessus, il faut enlever la faute d'orthographe au titre : "securiser" par "sécurisée"

Merci
Action38 (auteur) a posté ce commentaire le 18/07/2017 à 18h35
@Nemskiller désolé pour la faute dans le titre.

En ce qui concerne le HTTPS, il me semble que de nos jours c'est très important :
- Comme le dit @Nemskiller, toutes les communications entre le site et votre PC ne sont pas cryptés.
- En ce moment qu'est ce qui me confirme que je suis bien sur le "vrai" site universfreebox pas un fake ?

Bref, voir un site en HTTPS apporte de la confiance, du professionnalisme et de la sécurité.

De plus, effectivement, maintenant avoir un site en HTTPS est devenu totalement gratuit avec LetsEncrypt.

Merci
point a posté ce commentaire le 18/07/2017 à 23h28
Etrange cette façon de botter en touche de l'administrateur.

Est-il nécessaire de rappeler de vos identfiants/mot de passe transitent aujourd'hui en clair et qu'il est à la portée d'un collégien de récupérer les trames avec potentiellement le risque de vous faire rooter ?

Est-il nécessaire de rappeler que maintenant vous avez des utilisateurs avec abonnement et que vous leur devez de sécuriser leur identifiants ?

Après, je peux comprendre qu'un certificat SSL ça peut avoir un coût homme (renouvellement tous les 90 jours pour LetsEncrypt, c'est peut être gratuit à obtenir, mais très vite fastidieux à maintenir) ou financier pour s'en payer un valide 2 ou 5 ans chez Symantec ou autre, mais votre réponse à la demande manque tout de même de professionnalisme.
wedge a posté ce commentaire le 21/07/2017 à 14h35
Let's Encrypt est gratuit, coût de maintiens 0 puisque tout est automatisable.
Pas de données personnelles, certes pas directement sur UF, mais le compte créé sur Freezone contiens bien des données personnelles (nom et prénom de l'utilisateur) qui sont a renseigné obligatoirement.
L'authentification se fait bien en HTTP ce qui présente donc un risque, même avec le mot depasse passer encrypté, il est possible de se connecter en l'interceptant (encrypté le mot de passe en passage AJAX ne le protège pas).
Enfin le HTTPS est profitable puisque les algorithmes de google favorise les sites HTTPS.
Ach!lle a posté ce commentaire le 25/07/2017 à 17h29
Bonjour,
Je vois que je suis loin d'être le seul à avoir remarqué ce problème de connexion non sécurisée. Je vais sur quelques forums et c'est uniquement UF qui n'est pas dans le coup. C'est un peu fort pour un forum se disant "partenaire" d'une entreprise à la pointe du progrès et des techniques de communications.
Ach!lle
Super Dupont a posté ce commentaire le 25/07/2017 à 17h52
Bonjour,

Parce qu'Univers Freebox affiche la volonté de centraliser tous les médias sur Freebox TV (comme par exemple pour les radios et TV par IP), avec des contacts privilégiés avec une grande partie des acteurs de l?audiovisuel, le site a le devoir moral de passer en https.
Je soutiens la proposition d'Action38.

Cdt

Bernard
Galixte a posté ce commentaire le 26/07/2017 à 01h18
Comme signalé précédemment : http://forum.universfreebox.com/viewtopic.php?p=519662#519662

C'est peut-être dû à la vieillissante version de phpBB utilisée sur le forum qui rebute l'équipe en charge du forum.

Version de phpBB utilisée sur le forum : http://forum.universfreebox.com/docs/CHANGELOG.html | Sa publication publication date de 2006 ! http://forums.phpbb-fr.com/annonces-a-lire/sujet105682.html
Sindri a posté ce commentaire le 26/07/2017 à 04h16
TOUT les sites comportant un login et un mot de passer DOIVENT être sécurisés !
Actuellement, firefox, entre autre, affiche un message assez anxiogène lors de la saisie du login sur un site non sécurisé et ce n'est qu'une étape, tout les acteurs du web forcent les sites à se sécuriser.
Les utilisateurs non avertis (c'est à dire la majorité) sont tentés d'éviter ce genre de site ou tout du moins de se demander ce qu'il se passe et ils ont tout à fait raison !
flamme-demon a posté ce commentaire le 30/07/2017 à 09h20
@ademangel nom, prénom, ville de résidence, date de naissance, nra ou l'on se trouve. Vous trouvez que ce n'est pas des données confidentielles et je parle pas des mots de passe qui sur beaucoup d'utilisateur sont les mêmes partout.
En plus votre CRM envoi du javascript partout plutôt qu'une gestion web classique.

De la part d'un administrateur je trouve cette réponse limite surtout que technologiquement on peut le faire gratuitement. Et que je suis sûr que même la communauté serait prête à vous financer un certificat a 500? (je serais heureux de vous faire un don).
wedge a posté ce commentaire le 31/07/2017 à 11h57
@Galixte aucun rapport avec la version de PHPBB le HTTPS se fiche royalement de ce qu'il y a derrière :) Neuf ou vieux il faut juste que le serveur Apache/Nginx supporte c'est tout :)
2bar a posté ce commentaire le 21/08/2017 à 20h23
@ademangel (administrateur)
Bonjour, Quand bien même vous ne stockez pas de données confidentielles, il y a quand même les pseudos et les adresses IP fixes des abonnés, ces fameuses adresses non remplaçables. Il doit y avoir aussi les mots de passes, peut être le même que celui qui sert d'accès à l'espace abonné et la date d'abonnement au site qui doit souvent correspondre avec la date d'abonnement au FAI.
Passez le site en HTTPS et tout le monde sera content.
Thecrafteur75 a posté ce commentaire le 3/09/2017 à 22h57
Ne pas passer en SSL sous prétexte que vous ne stockez pas d'informations personnelles est ridicule.
Chrome Canary 62.0.3202 me met la même page que lors d'un certificat SSL invalide en raison du formulaire de login non-sécurisé.
Par ailleurs, certains peuvent souhaiter que leur historique détaillé ne soit pas enregistré par un tiers (employeur, école, telco) et le HTTPS est indispensable pour ces personnes.
Comme mentionné précédemment, utiliser un certificat letsencrypt est d'une simplicité déconcertante, cela prend 5 minutes sous Apache et 15 sous nginx.
"Pourquoi on passerait au HTTPS tout fonctionne bien actuellement" -> "Pourquoi on baisserai nos prix les gens acceptent de se faire baiser".
lowwa132 a posté ce commentaire le 6/09/2017 à 10h17
Il n'y a aucun argument contre le HTTPS valide aujourd'hui.
Votre site est déjà une passoire et j'ai pu le prouver avec votre contenu riche wysiwyg.
Faites un effort.
Jojo92100 a posté ce commentaire le 8/09/2017 à 04h09
"Or pour Univers Freebox, nous ne stockons pas de données confidentielles, le peu de données sont vos pseudos et quelques réglages. Il n'apparaît donc pas nécessaire de passer le site en HTTPS ...."
-> En 2017 ce genre de reponse est d'une stupidité crasse. Il est acquis que la volonté est de généraliser le https sur Internet, et dès maintenant nombre de sites qui ne sont pas des sites de commerce électronique sont passés en https. Le but du https n'est pas juste la sécurisation de l'échange de données confidentielles !
Enfin si le login/password ne sont pas échangés en mode sécurisé lors de l'authentification VOUS DEVEZ mettre un disclaimer pour dire que comme vous ne securisez rien le mot de passe utilisé pour universfreebox NE DOIT PAS etre unique pour univers freebox
Ponzy33 a posté ce commentaire le 18/09/2017 à 13h22
Le simple fait d'avoir un mot de passe sur un site devrait rendre le Https sur ce site obligatoire.

Ensuite durant 4-6 mises à jours (nigtfall) de Firefox il était devenue impossible d'enregistrer un mot de passe sur un site non https. Je pense que cela sera bientôt obligatoire sur les prochaines version du navigateur ainsi que pour les autre cela étant une requête du WWW.

Il y a autre chose qui devrait être obligatoire, mais je remercie Action38 il comprendra...
FloBaoti a posté ce commentaire le 28/09/2017 à 12h34
Bravo ademangel pour cette réaction DEBILE ! On voit la mentalité des gens qui gèrent ce site. C'est bien.

Le simple fait de faire transiter un pseudo et un mot de passe en clair sur le net est une aberration. Ce sont des données confidentielles et les visiteurs vous font confiance lorsqu'ils vous confient ces données là. Et je ne parle pas de respect de la vie privée, ça doit être un concept qui ne vous parle pas! Donc vos justifications à 2 balles gardez-les.
Expliquez plutot ceci par votre incapacité technique à savoir mettre en place HTTPS. La nullité à son paroxisme.
Ponzy33 a posté ce commentaire le 4/10/2017 à 08h16
Je pense que la discussion est close. n'en déplaise à Admangel qui devrai suivre une formation sur la sécurité web.

Le passage d'un site normalement constitué demande moins d'une dizaine de ligne de code et une demande de certificats gratuit chez let'sEncrypt.

Bref en somme moins d'une heure. il ma fallu moins de 30 minutes pour rendre mon GLPI secure sur une CENTOS 7.
Mnot a posté ce commentaire le 12/10/2017 à 13h30
SSL = b.a.-ba de la sécurité informatique sur internet, la question ne devrait même pas se poser en 2017 !
fansat70 a posté ce commentaire le 12/10/2017 à 23h43
A part bien répéter à l'envi qu'il faut bien lire les règles, vous faites quoi pour sortir votre site de l'état d'éternel inachevé dans lequel il est?
Car votre "torchon" est aussi charmant à utiliser qu'un truc alimenté par le télégraphe de Chappe.
L'ergonomie est digne d'un Minitel Cacochyme, la sécurité aussi bien affutée qu'un MSDOS des primes années et les réparties du gamin qui se dit administrateur révèle un niveau de compétences équivalent au mien si je prétendais devenir Sage-Femme!
Quant à la ligne éditoriale, le nombre de loupés semblerait indiquer que les adolescents pré-pubères qui rédigent les articles souffrent déjà d'une Pulitzerite Aigüe!
Allez, je ferme!
Websahib a posté ce commentaire le 16/10/2017 à 18h07
HTTPS c'est bon pour les données à protéger absolument !
Sinon cela retarde et alourdit le travail des serveurs sans vraiment de contreparties sérieuses !
C'est un peu surfait dans l'ensemble pour un site de ce genre !
Faut bien voir le chemin que suit une requête avant d'être satisfaite en HTTPS ! Très gourmande en performances pour peu de résultats à obtenir ! Enfin ce n'est que mon avis ! :-)
Antwan a posté ce commentaire le 2/11/2017 à 11h52
Ça prend 15 minutes a installer un letsencrypt avec certbot-nginx sérieux...
tromine a posté ce commentaire le 5/11/2017 à 03h48
Vous avez l'intention de laisser cette suggestion en "cours de débat" éternellement ou quoi?
En 2017 (et bientôt 2018), c'est aberrant de voir un site internet qui est assez populaire, sans protocole de sécurité en SSL.
Ça devrait même être obligatoire...
Sindri a posté ce commentaire le 17/11/2017 à 23h22
Bref, ce bugtracker/"ToDoBox" était juste là pour faire joli en fait ...

vous devez être connecté pour commenter.