Hello,

Avec les histoires de heartbleed, ca m'a fait réalisé que NextInpact ne redirige pas en https au moment de l'identification (même chose pour le forum), ni même une fois identifie.

Bon c'est pas forcement critique mais bon une identification en clair, c'est pas toujours ce qu'il y a de mieux (ne serais-ce que sur le principe).

C'est prévu, normal, option a activer, prévu, obi-wan kenobi ?

obi-wan kenobi

J'avais jamais percuté mais c'est vrai que tout passe en clair. Bon en même temps je me log pas tous les jours non plus, ça reste stocké chez moi (petit cookie je crois)

Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS.

Après, il est vrai qu'on est pas sur un site de banque

Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS.

Après, il est vrai qu'on est pas sur un site de banque

Bah c'est mieux (automatique) depuis que j'ai installe HTTPS Everywhere.

Mais comme je disais c'est une question de principe -> je me log quelque part, donc j’envoie mon login/pass, ça serai mieux si ça ne se baladai pas en clair sur le réseau.

Par contre pas d'https sur le forum.

Modifié le 11 avril 201411 a par Kernelcoffee

Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS.

Après, il est vrai qu'on est pas sur un site de banque

Bah c'est mieux (automatique) depuis que j'ai installe HTTPS Everywhere.

Mais comme je disais c'est une question de principe -> je me log quelque part, donc j’envoie mon login/pass, ça serai mieux si ça ne se baladai pas en clair sur le réseau.

Par contre pas d'https sur le forum.

J'ai pas dit que c'était pas bien. Après, mais je pense que tu le sais vu que tu as l'air porté sur la sécu qu'il ne faut pas utilisé les mêmes ID/Password partout. Moi j'ai le même ID quasi partout mais mon mot de passe diffère constamment. C'est juste problématique quand tu ne retrouve pas le mot de passe que tu as utilisé pour tel ou tel site

Fais comme moi utilises ton nom et ton N° de CB, comme ça pas besoin de chercher

Nan le combo culte azerty1234 est inoubliable Dire que c'est le mot de passe que nombre d'admins en tout genre mettent sur les sessions root de serveurs pro ....

Avec sa meme plus besoin de faille, c'est du harakiri

Modifié le 11 avril 201411 a par mantisis

Et encore, un poil de social engineering, c'est facile. Y'a quelques temps, il m'a fallu redémarrer une machine que j'ai proposé de dépanner (lenteurs--confirmé par une blinde de spywares, entre autres), sauf que le compte utilisateur était protégé par mot de passe. Petite réflexion, et au premier essai, j'ai trouvé : c'était le nom du fils de la personne. Même pas une majuscule.

Non vraiment je me demande comment on a pu passer à côté de l'enfer aussi longtemps

Je viens de tester, sur le site et le forum, il n'y a pas de redirection HTTPS lors de la connexion.

C'est vraiment pas top :(

Modifié le 25 avril 201411 a par contre-maitre

Navigue sur le site directement en HTTPS, tout reste en HTTPS (authent compris).

Pour le forum, ce n'est pas encore d'actualité.

Navigue sur le site directement en HTTPS, tout reste en HTTPS (authent compris).

Pour le forum, ce n'est pas encore d'actualité.

Oui certe, mais combien de personne vont le faire manuellement ? Alors qu'un petit réglage de redirection pour le login résoudrait le problème pour tout le monde.

Ah bah oui j'suis d'accord. Mais quitte à être parano, autant l'être jusqu'au bout en attendant l'authentification unifiée (qui sera je pense sécurisé).