Bonjour,

Est il prévu de passer PCI et son forum en HTTPS?

Ma question concerne la vie privé et d'outils la mettant à mal tel que FireSheep qui pourrait être utilisé de façon peu sympathique dans une entreprise

Cela m'étonnerait, surtout en terme de coûts, mais à voir... peut-être qu'il y aura une réponse ?

Cela m'étonnerait, surtout en terme de coûts, mais à voir... peut-être qu'il y aura une réponse ?

De plus, ça viserait un public assez restreint vu que le surf privé est de moins en moins toléré en entreprise

Si jamais tu as un poste Unix/Linux, tu peux utiliser Corkscrew.

J'ai un serveur chez moi, je fais binder SSH sur le port 443, comme ça je m'y connecte du boulot en passant par le proxy, je fais un tunnel SSH et comme ça c'est niquel :)

Tous mes flux web passent par SSH

Pour info y'a de plus en plus de boites qui contrôlent même le HTTPS, c'est à dire que le proxy te présente un faux certificat, la connexion est juste sécurisé entre le site distant et ton proxy, mais pas entre toi et ton proxy... C'est juste du man in the middle... C'est juste de l'abus... Du coup dans ce cas là t'es walou !

Ah je ne pensais pas que c'était juste sécurisé jusqu'au proxy l'HTTPS...

Sinon, non je ne veux pas faire de SSH au boulot, pour plusieurs raisons:

- Ca sera surrement un peu plus difficile que ça à mettre en oeuvre, la partie wan de ma boite étant gérée par la maison mère qui est un grand groupe international

- Si je me fais choper c'est la porte direct

- Je ne cherche pas à aller sur des sites bloqués par mon proxy car c'est normal que je n'ai pas accès à tout, je suis avant tout au travail.

Je cherche juste à ce que quand je vienne dire des choses sur un forum ça ne me soit pas préjudiciable, même si je ne dis rien sur mon boulot / ma boite.

Cela m'étonnerait, surtout en terme de coûts, mais à voir... peut-être qu'il y aura une réponse ?

Ça n'augmente pas énormément les couts.

Il y a un certificat à payer, mais ça coute une centaine d'euros par ans chez gandi. Ensuite, ça induit une légère augmentation de la charge serveur, mais, à moins que tous les membres ne se mettent à l'utiliser, ça ne casse pas trois pattes à un canard.

Et si c'est le cas, rien n'empêche de limiter le https à l'authentification et garder la navigation classique en clair (c'est toujours mieux que rien).

Je dis ça, c'est surtout pour les membres avec des droits, que ce soit sur les news ou dans le forum.

J'ai un serveur chez moi, je fais binder SSH sur le port 443, comme ça je m'y connecte du boulot en passant par le proxy, je fais un tunnel SSH et comme ça c'est niquel :)

Tous mes flux web passent par SSH

Oui, mais ça ne change pas le fait que ton trafic est en clair entre chez toi et le site web.

Pour info y'a de plus en plus de boites qui contrôlent même le HTTPS, c'est à dire que le proxy te présente un faux certificat, la connexion est juste sécurisé entre le site distant et ton proxy, mais pas entre toi et ton proxy... C'est juste du man in the middle... C'est juste de l'abus... Du coup dans ce cas là t'es walou !

D'où l'utilité de vérifier le certificat quand on se connecte quelque part.

Le navigateur lèvera une alerte si le certificat présenté ne fait pas partie des chaines de confiance qu'il reconnait. Dans le cas d'un serveur perso qui n'aurait pas de certificat signé par une telle autorité, il suffit de connaitre son fingerprint.

Et le trafic est chiffré des deux côtés. PC->proxy et proxy->site distant. C'est juste que le proxy peut tout voir au milieu.

Oui, mais ça ne change pas le fait que ton trafic est en clair entre chez toi et le site web.

Oui, mais je préfère ça plutôt qu'en clair au boulot

D'où l'utilité de vérifier le certificat quand on se connecte quelque part.

Le navigateur lèvera une alerte si le certificat présenté ne fait pas partie des chaines de confiance qu'il reconnait. Dans le cas d'un serveur perso qui n'aurait pas de certificat signé par une telle autorité, il suffit de connaitre son fingerprint.

Et le trafic est chiffré des deux côtés. PC->proxy et proxy->site distant. C'est juste que le proxy peut tout voir au milieu.

Oui, on est d'accord. Moi ça me gêne que le proxy puisse tout voir au milieu, on ne sait pas qui a accès à ce proxy (en fait je n'ai rien à cacher, pour du surf classique OK. C'est juste que je ne voudrais pas qu'on récupère mes login/mdp des comptes mails, et des comptes de différents sites).

Il y a un certificat à payer, mais ça coute une centaine d'euros par ans chez gandi.

Je pensais surtout à ça, je trouve que ce n'est pas donné

Et encore si on veut un multi sous-domaines, c'est nettement plus cher non ?

Il y a un certificat à payer, mais ça coute une centaine d'euros par ans chez gandi.

Je pensais surtout à ça, je trouve que ce n'est pas donné

Et encore si on veut un multi sous-domaines, c'est nettement plus cher non ?

Non bien dans les 100 euros HT (150 euros en fait, après vérification) pour les domaines wildcard.

Les domaines racine, c'est de l'ordre d'une dizaine d'euros.

Et pour une boite comme PCINpact où rien que les salaires dépassent plusieurs dizaines de milliers d'euros, une centaine d'euros en plus, ce n'est pas énorme.