PDA

Voir la version complète : HTTPS avec le site



vandman
27/07/2019, 23h56
Bonjour,
Juste pour vous indiquer que le site n'est pas full https, certaine images sont chargées en http et non en https. Cela provient probablement du fait que le site est mal configuré.
Pour mon inscription, j'ai du envoyer en clair sur le net mes identifiants et mot de passe. Du fait que le site en https charges des données (images et certaines pages en non https) il est possible de récupérer les login et mot de passe de tous le monde.

Cordialement,
vandman

fastm3
28/07/2019, 20h33
La version ancienne de vbulletin n'est pas facile a passer en https a cause de reference en http dans le code ( au moins ce soucis et probablement d'autres ) . En attendant pour l'instant , seule la version http est active. Ca a toujours été le cas. J'avais fait un test mais ca avait été desactivé a cause de ces problemes que tu as vu en accedant directement a la version https normalement non referencee. Pour l'instant, le site a été migré tel qu'il etait precedemment en http.
Le serveur heberge aussi d'autres sites en https. du coup, ca n'avait pas été desactivé completement. J'ai fait en sorte que seule la version valide en http soit accessible pour l'instant en attendant d'avoir du temps pour regarder.

Oui , il est possible de recuperer user et mot de passe de tout le monde en http mais comme avec sip...et en fait , il est possible de voler des mots de passe aussi en https.
Certains sites sont en https et stockent les mots de passe en clair , donc le https n'est en rien un gage de securité absolu...
Le vol de user/mot de passe ne se fait a cause du http. https est juste une mesure de sécurité supplémentaire.

Merci en tout cas pour avoir signalé le pb en cas d'acces direct https.
Francois.