+ Le chant du vario +

Bonjour,

Tout le forum est en HTTP c'est à dire que les communications entre nos ordinateurs et le serveur sont en clair y compris lors de l'inscription donc email et mot de passe sont visibles par des tiers.

Est ce possible de passer le forum en HTTPS avec par exemple un certificat gratuit de LetsEncrypt ?

Merci beaucoup
Thomas

Les certificats "gratuits" de LetsEncrypt sont (à moins que j'aie raté quelque chose?) à renouveler tous les 3 mois.
J'ai fait ça pour un site que je gère, c'est un peu galère, faut mettre à jour les DNS etc, je crains le jour où je voudrai transmettre les rênes à quelqu'un d'autre... :-(

Mais oui, sinon, je valide totalement l'idée de passer en https.

PS/ Certaines formules d'hébergement incluent la fourniture "gratuite" d'un certificat, qu'il n'y a pas à renouveler manuellement.

  Le renouvellement des certificats LetsEncrypt peut être géré en automatique par un robot, sur la plupart des plateformes.
  Perso, une fois que c'est en place, je ne m'en soucie plus   (SpotAiR).

OK.
"Mon" problème vient apparemment du fait qu'on est hébergé chez un prestataire, mais notre domain est enregistré chez un autre.  C'est un site associatif dont j'ai hérité, qui date d'avant la généralisation du https... et ceux qui ont conçu cet imbroglio ne sont plus dans le paysage.

Il se disait à l'époque que c'était censé être une bonne idée ("pas tous ses oeufs dans le même panier, gnagnagna"), mais ça fait un sac de noeuds à maintenir.  Et je manque de compétence pour changer ça, tant que ça marche plus ou moins je préfère ne pas y toucher...

 :coucou:

Euh, comment dire :grat: j'ai un peu la flemme de chercher mais cette discussion a déjà eu lieu.

Effectivement parce que nous ne sommes pas en httpS, tout ce qui est échangé entre le serveur et le client transite en claire sur internet.
donc toutes les conversations transitent en clair ... et clairement on s'en F.... (en majuscules)

Mais effectivement le mot de passe aussi :tomate:
Aussi je vous recommande d'appliquer une des techniques de sécurisation de vos sessions = avoir un mot de passe spécifique à chaque site.
(autrement dit, je n'ai pas envie de mettre les mains dans le DNS et tout le reste pour passer en https,  :canape: désolé, surtout que je pense que cette mode du https pour tout n'est qu'un pis aller. Je préfèrerai largement une bonne éducation quant à la sécurité sur internet)

Merci beaucoup pour le temps que vous avez toutes et tous pris pour répondre et apporter vos éléments.


Je suis d'accord que tous les échanges n'ont pas besoin d'être chiffrés en revanche, je trouve ça déraisonnable en 2023 qu'on préfère obliger les personnes qui souhaitent rentrer dans la communauté du parapente via ce site à publier leur adresse email (c'est ce qui se passe en laissant le trafic en HTTP pour l'inscription et la connexion) et le mot de passe choisi pour ce site.

Je suis aussi favorable à l'éducation à la sécurité informatique mais pour moi il faut faire les deux sécuriser (i.e. montrer l'exemple qu'on prend soin des données de personnes) et on sensibilise/éduque.

Je suis prêt à donner un coup de main sur le plan technique et si des échanges sur le volet technique ont déjà eu lieu et ont mis en évidence la grande difficulté je veux bien y jeter un coup d'oeil pour vous éviter de répéter les mêmes choses.

Y'a pas vraiment de discussions techniques que j'aie pu retrouver, juste un ou deux fils où certains suggèrent que ce serait bien que le site soit sécurisé par un certificat SSL, et Piwaille répond que nyaka avoir un mot de passe par site, épicétou.

Exemple:
http://www.parapentiste.info/forum/le-chant-du-vario/site-non-securise-t47446.0.html;msg593839

Je comprends ta position Piwaille à 80% (surtout la partie prise de tête vs gain)
Il y a quand même nos emails et autres infos sensibles qui peuvent transiter, et comme je suis accro au forum, je peux me connecter sur des wifi peu recommandable des fois. (vacances, déplacement)
Https c'est toujours mieux qu'un VPN fumeux.


Un très bon argument pour, est l'amélioration du référencement du forum dans les moteurs de recherche (et par extension le nombre de copains de discussions sur le forum)


Je rejoins aussi l'avis de Pedro, une fois que let's encrypt est configuré (ca peut être galère) ca roule pour des années.


Si un jour, tu trouves une once de motiv, lève le doigt et on répondra à l'appel en cas de besoin.

Piwaille, je comprends tout à fait que tu aies la flemme de t'investir techniquement dans le forum qui marche globalement bien tout seul depuis des années, je ne te jette absolument pas la pierre pour ça, et je pense sincèrement que tu devrais profiter de ces multiples mains tendues pour mettre le forum un minimum aux standards de sécurité d'aujourd'hui.

Pensez vous vraiment que le s de https de parapentiste.info va sécuriser vos adresses mails ???

OUARF OUARF OUARF
 ROTFL  ROTFL  ROTFL

Ce forum fonctionne très bien comme ça dans son cadre pour ce qu'il est ...

Ce n'est certes pas une raison scientifique, mais est ce que les "très vieux" membres du forum se sont fait pirater email et/ou pwd et/ou ont à se plaindre d'une quelconque fuite ?

De plus, une solution hyper simple est de choisir/créer un compte mail dédié à vos échanges sur le forum.

Croire que la technologie résout tous les problèmes (et surtout ceux qui n'en sont pas) est une très grave erreur.

Mr piwaille a la flemme ... je soutiens la motion  :pouce:

 :mdr: merci Buck Danny pour ton témoignage.

une petite précision toutefois

euf ... :grat:  :roll:
est-ce que tu peux relire attentivement ce que j'ai écrit ?
J'ai dit que j'avais la flemme de chercher dans quel(s) autre(s) fils, nous avions déjà parlé du https. Il me semble que c'est sensiblement différent d'avoir la flemme tout court ou d'avoir la flemme de s'investir techniquement. Merci d'éviter de trop déformer mes propos.

Après, c'est vrai que le forum marche tout seul :clown:  ROTFL

Pour revenir dans le sujet ... c'est même plus de la philosophie qu'autre chose
J'ai commencé à programmer et faire des trucs (assez balaise pour l'époque) dans les années 80.
J'ai commencé à utiliser Internet dans les années 90
J'ai développé des solutions intranet avant même que les Français ne découvrent l'internet en ~95
[...]
Quand j'ai développé le forum, je me suis farci les modes SEO imposées par Google et "con sort" (et quand je dis les modes ce sont les modes, les changements de mode et autres joyeusetés dont Google a le secret quand tu développes un truc qui commence à marcher et là, ils décident de changer leur algorithme du jour au lendemain).

[...]

Bref, aujourd'hui, je suis encore plus persuadé que je n'ai jamais été que "simple is beautifull". Pour faire une comparaison, j'ai volé avec -aux pieds- des salomons rigide, cramponables. Aujourd'hui, mes chaussures de vol sont des docksides. Je suis de plus en plus vieux, de plus en plus con (et flemmard) et mon corps et de moins en moins adapté à la sécurité active. Pourtant, c'est mon crédo.

PS : je vous rassure, je suis vieux, con et flemmard, mais je vais quand même parler avec l'hébergeur. Mais je sais déjà qu'il ne me laisse pas accès ni à un shell, ni au cron ni à plein d'autres facilités modernes ... pour la sécurité des autres sites hébergés.

PPS (après avoir pris le temps d'aller manger)

à quel moment est-ce que ton email transite en clair sur le  :forum:
quelles autres infos sensibles faudrait-il sécuriser ?

Par exemple, à chaque fois que j'affiche/consulte mon profil.  Tu me diras, j'ai qu'à m'enregistrer avec une adresse jetable, mais bon, c'est pas trop l'esprit.


Je peux être tenté de partager des infos perso par la messagerie (par exemple dans le cadre d'une transaction/petite annonce : téléphone, voire RIB).  Tu me diras, j'ai qu'à faire attention à ne pas le faire, mais ça rend la section petites annonces un peu délicate à opérer.

Oui c'est vrai qu'il n'y a que quand quelqu'un affiche un profil pour l'email, et j'ai un email dédié.

Ouai ok, donc compliqué sans tout changer si il n'y met pas du sien.

non, je te demanderai surtout quel est ton besoin d'aller consulter ton profil quand tu es sur un Wifi peu recommandable ?

voilà ... donc https colonne avantage, on est pas loin du zéro absolu; en revanche colonne inconvénients/risques de dysfonctionnement et lourdeurs (tant pour la gestion que du point de vue écologique :roll: )

Le principal risque concernant vos adresses emails est présent dans la BaL de vos correspondants avec des virus et autres chevaux de Troie.

@piwaille : je ne déforme pas tes propos : c'est moi qui dis que tu as la flemme (ça se voit dans tes arguments, et tu le dis toi-même après), et encore une fois, je le comprends,  ce n'est pas une critique. Juste que tu as une opportunité d'avoir des gens motivés et qualifiés pour faire le taff, et qu'à ta place, en tant que vieux flemmard moi-même,  je m'appuierai fort sur ces personnes de bonnes volonté !

 :trinq: Man's

Comme démontré, le rapport entre les bénéfices et les inconvénients restent (àmha) à pencher très fortement du mauvais côté de la balance.
J'attends la réponse de mon hébergeur… les chances que sa réponse ait changé depuis 2017 sont assez faibles, mais je lui ai reposé la question malgré tout.

“Un fils a demandé à son père (un programmeur) pourquoi le soleil se lève à l’est et se couche à l’ouest. Sa réponse ? Ça marche, il ne faut pas toucher !"

Depuis 2017, sous la pression de leurs clients (eux-même sous la pression de leurs utilisateurs et de Google), la plupart des hébergeurs ont installé le support https dans leurs formules "clefs en mains", qui n'impose pas aux hébergés de contorsions techniques de typle cron / shell etc.
"Normalement", en 3 clics c'est plié.

Maintenant, si (comme pour mon site asso récupéré dont je parlais avant) ton setup est historiquement "exotique", ça risque d'être effectivement plus compliqué/mal supporté.  Pour le site asso en question, j'ai cédé, parce que je recevais des "plaintes" d'utilisateurs ou contacts potentiels qui disaient "han, je peux pas accéder votre site, ou bien il a été piraté, j'ai un message comme quoi il est dangereux/non-sécurisé"...  Donc j'ai cédé (et je me retrouve avec une usine à gaz qui me prend 15 minutes de manip's tous les 3 mois -- parce qu'on est radins et qu'on ne veut pas payer pour un certificat).
 :trinq:

Oui bon. C'est un forum open source 'simple machine'. Je ne suis pas au fait des différentes mises à jour mais il me semble qu'en matière de forum ils se sont fait supplanter par d'autres solutions. Pas sûr que les évolutions de langage et de normes y soient tenues à jour régulièrement.
Si vous voulez mettre vos mains dans le cambouis, bon courage.
Et surtout gardez bien votre boulot en mémoire parcequ'il faudra tout refaire en cas de mise à jour.

Devant cette ringardise désolante, je propose que nous arrétions tout simplement d'échanger ici pour nous instruire et nous enrichir les uns les autres.

... Il ne sait pas se servir des 3 coquillages  ROTFL  ROTFL  ROTFL

http://www.youtube.com/watch?v=UG6W2MbVPBE

 :mdr: Très bonne idée et initiative si tu te l'applique personnellement... pour donner le bon exemple.  :mdr:

À moins bien sûr que tu ne fais juste que comme Cantonna quand il appelait au boycott des banques mais s'est bien gardé de s'y astreindre lui même sauf si on considère le retrait symbolique qu'il a fait auprès de la banque Peronne.

http://youtube.com/watch?v=V2Ap5bTiF5k (http://youtube.com/watch?v=V2Ap5bTiF5k)

 :forum: