XWebDesignor - JSC Editor - XWD - Utilisation - Astuces et Mode d'Emploi !

Un Site, c'est QUOI ? ? ? => Données de Base, Généralités... => Discussion démarrée par: yvanoph le Lun. 21 Mai 2018 à 00:20:02



Titre: [https] - Accès HTTP / HTTPS, quels différences et ... intérêts !
Posté par: yvanoph le Lun. 21 Mai 2018 à 00:20:02

Voilà déjà un moment que nous voyons fleurir des accès à nos #Sites habituels sous la forme https en lieu et place de l'http classique jusqu'à présent ? Et même PIRE, certains "WebMaster", gérant et/ou responsable de ces #Sites pour parler #Français, étant fiers de vous apporter une telle nouvelle "#Sécurité"...


Alors, benoîtement, je me pose, à votre place et puisque apparemment beaucoup se font GRUGER :o sans même se poser de question ::), celle ci :

Est-ce bientôt FINI ... ;Attend de NOUS prendre pour des ... (^;; C.Ns finis ;Help ? ? ?

Car partout, depuis l'apparition officielle de tout cela, il nous est annoncé que cet accès serait TOTALEMENT ""#Sécurisé"... Et bien voilà qui est FAUX, ARCHI FAUX, TOTALEMENT FAUX, et ne doit SURTOUT PAS être cru aussi stupidement ?

Qui d'entre vous a cru bon de chercher à savoir ce que ce "truc" contient et représente réellement, vérifier le #Contenu de ses valeurs, ce qu'elles contiennent réellement etc. ?
Et surtout les risques encourus quant à passer par un tel accès ? OUI, vous avez BIEN lu, les risques à présenter son #Site sous un accès https...


Bien amicalement, Yvanoph---



Titre: [https] - Alors que contient exactement un accès https ?
Posté par: yvanoph le Lun. 21 Mai 2018 à 01:01:01

Et bien la toute première des choses pour présenter en https est de disposer de Clefs, représentant des Signatures, obtenues via un gestionnaire SSL/TLS pour créer des Certificats #SSL, leurs Signatures et les clés adéquates correspondantes ?

Tout cela fait partie de l'usage courant de #SSL pour assurer la "Sécurité" d'un #Site.
#SSL permet donc théoriquement de "sécuriser" les #Pages du #Site de telle façon que les données, genre Connexions (Identifiants, Mots de Passe, Adresses #Courriel etc.), numéros de #CB (Cartes Bancaires) etc., soient codées avant l'envoi plutôt que communiquées de manière lisible à tous.
Il est donc théoriquement important de sécuriser les #Pages de Connexion, d'Achats, de Règlement etc. comme toutes autres #Pages présentant ou collectant des Informations / Données délicates qui doivent transiter par les "tuyaux" d' #Internet, du #Web ?

Pour ce faire, vous pouvez vous adresser directement auprès des services de votre #Hébergeur sinon si différent auprès de votre #Registrar ? Voire carrément les créer vous même sur votre #Serveur :

Lien : https://certbot.eff.org/lets-encrypt/debianother-apache

Lien : https://letsencrypt.org/getting-started/

mais il en existe de nombreux autres ?


La toute première des choses contenues par ce genre de Certificat est l'identité exacte du propriétaire du #Site ! Et à ce stade, n'importe que générateur est bon pour vous le sortir gratuitement ?
Et vous obtiendrez de suite un Certificat #SSL, nommé "Certificate - CRT" !


Ensuite, un tel accès fera que vos #Contenus seront tous cryptés, ce dès le départ du #Serveur...
De même, sur la #Machine du #Visiteur, tous ses #Contenus seront eux AUSSI cryptés dès lors qu'il renverra des données dites sensibles ?

Car il faut bien comprendre la chaîne suivante :

#Ordinateur du #Serveur => #Réseau => #Machine du #Visiteur, écriture puis envoi d'une réponse ou même renvoi simple d'une requête => #Réseau => #Serveur => #Réseau => #DB du #Site par exemple ?
Mais les allers et retours peuvent être encore plus nombreux et complexes...

Ou, dit autrement, la chose devient LOURDE et plus difficile à faire transiter, toujours la même image pour facilement comprendre, en ce sens que faire passer un convoi exceptionnel aux heures de pointe sur le périphérique de #Paris est un non sens alors qu'un vélo, si tant est que ce soit autorisé, ou donc une moto, circulera sans aucun souci et sans risque à toute vitesse en plein milieu de la nuit ?


A suivre, Yvanoph---



Titre: [https] - Que coûte un VRAI Certificat pour un accès https valable ?
Posté par: yvanoph le Lun. 21 Mai 2018 à 08:00:10

Donc pour aller plus loin, il faudra montrer "patte blanche"...


Et faire une demande #CSR officielle et complète. Justificatifs d'identité, personnel et/ou de raison sociale, de résidence (Actes de propriété, Baux...) etc. seront obligatoires et expédiés via la toile certes, mais dument contrôlés à réception, d'où un coût minimal à prévoir ? Car jusqu'aux numéros des documents expédiés dans les détails, tout sera vérifié...
Pour information à ce sujet, à l'époque (Il doit bien y avoir cinq ans ?), le moins cher que j'ai pu trouver sur la #Planète était en #Israël (Ils sont nombreux là bas à vivre de ça, ce qui leurs permet, entre autres, de TOUT savoir sur QUI fait QUOI sur la #Toile ?) et avait pris des semaines pour une centaine d'Euros / #€ par document (Devant prouver qu'il était normal qu'un Passeport #Français ait une Société en #Tu[color=#FFFnis[/color]ie !
Sachant que bien évidemment tout cela DOIT être refait à chaque date anniversaire, puisque devant prouver que l'organisme ET donc son représentant légal soient toujours bel et bien existant ? Vous n'avez le droit de décéder ou fermer la boutique qu'après la demande quoi...
Et en cours de route vous changez de gérant, de responsable d'une entreprise, vous recommencez, sauf à attendre l'année prochaine ?

Bref, en résumé, un tel #Certificat peut monter, SANS Assurances incluses, jusqu'à 1 500 € !
Et comme chaque Certificat ne contient exclusivement qu'un seul #ND, la note grimpe VITE ? ? ?


Mais arrivé au bout du tunnel, vous aurez deux ou trois Clefs en main, se présentant sous les formes suivantes :

-----BEGIN CERTIFICATE-----
MIIG3zCCBcegAwIBAgISA6g3MxMjptWsUdNrGjjWoAkHMA0GCSqGSIb3DQEBCwUAMEoxCzAJBgNVBAY
.../...
TRENTE lignes comme ça ;Help...
.../...
gRKG6XABlaVnYLtOp5O6UbMvOJoBfL+oFVmmRuC2eRLznCvlAqQRENTXWeZhQs3OqP6WKHk=
-----END CERTIFICATE-----

à coller dans la première case, dite Certificat #CRT, puis :

-----BEGIN RSA PRIVATE KEY-----
MIIG4gIBAAKCAYEA2cBRGa+/Ta50+cTFFYqmde2KraRUBQQJ75gcuwG23pZiI2XeTUJmviggyyw7yBF
.../...
TRENTE SIX lignes cette fois ;Help...
.../...
LooGikwuqy4A9zTJOneqB+qHOWNP4AXTlLtBK3jlwJQMEut8LB1LPDsFT9SX2d23id+354+WzQjA=
-----END RSA PRIVATE KEY-----

dans la deuxième, dite "key", et ensuite, mais en option :

http(SANS s...)://cert.int-x3.letsencrypt.org/
-----BEGIN CERTIFICATE-----
MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/MSQwIgYDVQQKE
.../...
Que VINGT TROIS lignes ;Help...
.../...
iWlkYcV4PIWL1iwBi8saCbGS5jN2p8M+X+Q7UNKEkROb3N6KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==
-----END CERTIFICATE-----

à coller dans la dernière Case nommée "Bundle", en fait pour déclarer les chemins accessoires genre sous #Site par exemple ?


Ce qui finalement vous donnera ça, cf. #Image ci dessous, avec le #ND sur #Fond BLEU !


(http://forum.abc-d-xwd.com/Clients_Sites/massagedasieetdailleurs.fr_Un_acces_HTTPS_FONCTIONNEL_et_acceptes_par_tous_Navigateurs_01-R.jpg)

Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre (http://forum.abc-d-xwd.com/Clients_Sites/massagedasieetdailleurs.fr_Un_acces_HTTPS_FONCTIONNEL_et_acceptes_par_tous_Navigateurs_01-N.jpg) ?


A NOTER que le #Site COURANT, LUI, est toujours en accès http NORMAL ;Parfait par choix délibéré !

Lien : http://www.massagedasieetdailleurs.fr,

qui ne vous renverra ... ;Attend SURTOUT PAS (^;; sur un accès ;DireQuoi https ;honte ?

Petit aparté pour vous montrer le #Code de la #Page ci dessus, codé dans #NP++ totalement en .php qui lui exécute les affichages, donc la partie visible dans un #Navigateur en xhtml, et directement, tant qu'à faire, en UTF-8 puisque la #DB est paramétrée ainsi.
A NOTER les indentations CLAIRES pour comprendre en un clin d'œil les imbrications, ainsi que l'ordre PARFAITEMENT LOGIQUE du #Contenu du #Code ?
Et dans ce genre d'exercice, les (x3 #Robots ou #Spiders ne s'y trompent pas ;Parfait ;(p ;HouHou...


(http://forum.abc-d-xwd.com/Clients_Sites/massagedasieetdailleurs.fr_Un_acces_HTTPS_FONCTIONNEL_et_acceptes_par_tous_Navigateurs_et_un_Code_PARFAIT_01...-R.jpg)

Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre (http://forum.abc-d-xwd.com/Clients_Sites/massagedasieetdailleurs.fr_Un_acces_HTTPS_FONCTIONNEL_et_acceptes_par_tous_Navigateurs_et_un_Code_PARFAIT_01...-N.jpg) ?


Et voilà bien le genre de #Page type nécessitant "théoriquement" un accès via https ? Un #Formulaire complet d'inscription, avec Données personnelles, Pseudonyme d'accès et Mot de passe :


(http://forum.abc-d-xwd.com/Clients_Sites/massagedasieetdailleurs.fr_Un_acces_HTTPS_FONCTIONNEL_et_acceptes_par_tous_Navigateurs_02-R.jpg)

Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre (http://forum.abc-d-xwd.com/Clients_Sites/massagedasieetdailleurs.fr_Un_acces_HTTPS_FONCTIONNEL_et_acceptes_par_tous_Navigateurs_02-N.jpg) ?


ATTENTION, ces #Pages ne sont pas encore publiques, et sont donc incomplètes quant à des éléments indispensables, genre #Balises "alt" non encore remplies, #Lien #Xiti, Chrono de temps de chargement, Alerte de #CopyRight absents etc. ?


A poursuivre, Yvanoph---



Titre: [https] - Quels sont les risques encourus d'employer un accès https quelconque ?
Posté par: yvanoph le Lun. 21 Mai 2018 à 10:50:10

Tout d'abord sur l'identité du Propriétaire, belle théorie de #BE, Bureau d'Etude quoi... Car au premier rang, aucune identité n'est réellement contrôlée, et même une #ORDURE accomplie, genre à déclarer lors de l'achat du #ND, Nom de Domaine, pirate_certifie@gmail.com, résidant à #Metz, Rue des Dauphins, #Tunisie, Téléphone +49 30 590039?? (Ambassade de #France en #Allemagne...), peut présenter un tel #Certificat, d'autant qu'à ce niveau là, il ne coûte absolument rien ?
Enfin si, le temps de le paramétrer correctement ;Youpi ;PTRire...

Néanmoins, à ce stade, il y a de fortes chances que, à l'arrivée, vous voyiez apparaître ce genre de #Page ?


(http://forum.abc-d-xwd.com/Clients_Sites/Acces_https_Certificat_SSl_defectueux_MEFIANCE..._01-R.jpg)

Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre (http://forum.abc-d-xwd.com/Clients_Sites/Acces_https_Certificat_SSl_defectueux_MEFIANCE..._01-N.jpg) ?


Bien évidemment, que des accès à des #DB soient par un https est normal, qu'il soit par un Certificat commun au #Serveur dédié à cet effet aussi dès lors qu'il est émis par votre #Hébergeur, et donc à son nom et non au vôtre ?
Et dans ce cas, le "WebMaster" ou plutôt Administrateur du #Site acceptera volontiers ce "risque" en poursuivant sa route sans aucune arrière pensée, alors qu'un #Visiteur lambda lui va FUIR immédiatement...

Ou PIRE, ce genre d' #ESCROC issu du #Bled, Saeed Hassan avec comme adresse #Courriel PORCfessionnel anmool@hotmail.com, hébergé chez #GoDaddy, dont j'ai fait sauté le #Site hier :


(http://forum.abc-d-xwd.com/Arnaques/homelightsuccess.us_Cas_typique_d-un_ESCROC_NOTOIRE_chez_GoDaddy_issu_du_Bled_et_-vivant-_aux_USA..._01-R.jpg)

Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre (http://forum.abc-d-xwd.com/Arnaques/homelightsuccess.us_Cas_typique_d-un_ESCROC_NOTOIRE_chez_GoDaddy_issu_du_Bled_et_-vivant-_aux_USA..._01-N.jpg) ?


Lien : http://whois.domaintools.com/homelightsuccess.us


Néanmoins, vous pouvez en toute bonne foi demander à votre #Hébergeur de vous générer un Certificat standard ? Cf. #Image ci dessous :


(http://forum.abc-d-xwd.com//Clients_Sites/berrand-sarl.fr_Formulaire_RGPD_ERREURS..._02-R.jpg)

Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre (http://forum.abc-d-xwd.com//Clients_Sites/berrand-sarl.fr_Formulaire_RGPD_ERREURS..._02-N.jpg) ?


Et c'est bien le minimum possible à avoir gratuitement... Mais hélas, il ne reprend que les #Noms du #Site et du Propriétaire, ni plus ni moins, et génère un Cadenas OUVERT, comme bien démontré ci dessus (En bas à droite !)...
Mais fort heureusement pour lui, connaissant le propriétaire dudit #Site, j'ai continué sur cette #Page ? D'autant que c'était pour des tests, donc non grand public bien évidemment !


Presque au bout, enfin ... à mi parcours, Yvanoph---



Titre: [https] - Quels sont les INCONVÉNIENTS des #Page[s accessibles UNIQUEMENT en htt
Posté par: yvanoph le Lun. 21 Mai 2018 à 13:30:03

Et bien, mine de rien, ça n'y paraît pas, mais ils sont NOMBREUX...

Tout d'abords, le #Code est crypté, donc consommation d'#Energie pour le faire, plus de #Poids à transférer ?
Ensuite, nos #Machines ne sont point des devins... Je pense que vous en seriez quand même douté, NON ?
Donc il va de soit que pour que le #Navigateur du #Visiteur puis afficher quoi que ce soit dans son #Navigateur, il faut donc décrypter le #Code reçu et, ne pouvant le deviner, il va bien falloir le faire via un #Programme adéquate ? Donc #POLLUTION supplémentaire quant à transmettre ce genre de chose...
SANS oublier la même #POLLUTION supplémentaire sur la #Machine NI son usure supplémentaire ? ? ?

Dit autrement, pour visiter de SIMPLES #Pages informatives, il faut être un sacré "C.N" fini pour ne pas comprendre de suite que :

 - ça retarde l'affichage du #Contenu,

 - ça SURCHARGE et USE prématurément autant le #Serveur que l'AUTRE #Serveur hébergeant les Certificats (Donc des FRAIS de transports etc. indirects !) que la #Machine de tout #Visiteur,

 - ça oblige chaque requête et/ou chaque réponse du #Visiteur à être cryptée,

 - donc ça POLLUE INUTILEMENT la #Planète,

 - d'autant que ça n'apporte réellement AUCUNE SÉCURITÉ, vous allez comprendre pourquoi, SI vous ne l'avez pas déjà compris,

 - et donc en résumé, ça ne sert STRICTEMENT à RIEN,

sinon, avantage non indéniable mas pas forcément utile, que démontrer le niveau incroyable de bêtise de nombre de "WebMaster"s ou Administrateurs de #Sites qui font là preuve de réelle stupidité sinon réelle incompétence notoire ?


Allez, n'en manque plus qu'un ? Cordialement, Yvanoph---



Titre: [https] - Un accès https est-il réellement fiable en matière de SÉCURITÉ ?
Posté par: yvanoph le Lun. 21 Mai 2018 à 14:10:02

Et bien là, vous allez être très désagréablement surpris, mais la suite est pourtant LOGIQUE...


Par contre, ladite suite, ce sera pour ce soir, après le #Jardin, et puis là, à plus de 6 / SIX heures pour rédiger ce #Magistral, hors réalisation des #Images !


Donc "à tout à allure", pardon, à tout à l'heure, Yvanoph---



Titre: [https] - Fiabilité en matière de SÉCURITÉ d'un accès https...
Posté par: yvanoph le Lun. 21 Mai 2018 à 19:55:02

Alors, si vous avez bien lu et surtout compris ce qui est au dessus, concernant la section "excès de #Poids", vous avez bien du noter qu'un tel accès implique un #Code crypté ?


Et à première vue, tout cela est fort plaisant sinon même très rassurant ? Mais il y a comme un hic ... ;Attend, et même un :o très GROS HIC ::) ! En effet, un truc crypté n'est pas lisible, disons compréhensible pour être plus explicite, at aucun #Navigateur ne saurait donc le comprendre puis ... ;siffle par conséquent l'afficher ;PTRire ?
Il faut donc passer pas la "case" décryptage... Mais encore faut-il avoir LE #Programme adéquate.
Et là nous avons deux choix devant nous :

- soit il est intégré d'office aux #Navigateurs,

- soit il arrivera avec les lots chargés, ce qui expliquerait largement l'excès de #Poids, nonobstant le passage obligé par des #Serveurs intermédiaires, ce qui est supportable après le chargement de la #Page comme des #Compteurs ou autre, mais certainement PAS AVANT, ce qui explique largement la lenteur à s'afficher ?

A NOTER qu'à titre d'information relevés les chiffres suivants :

- Connexion #ADSL, presque transparent, 10 à 15 % de temps supplémentaire pour un affichage en https comparativement à un simple http, SOUS RÉSERVE que les #Serveurs intermédiaires aient la possibilité de répondre quasi immédiatement ?

- Connexion #WiFi très correcte, de l'ordre de 40 % supplémentaire, avec les mêmes restrictions d'accessibilité citées ci dessus...

- Connexion #WiFi faible, de l'ordre de deux à trois barres, de 120 à 150 % de temps supplémentaire, voire même éjection d'office du #Site pour temps de réponse TROP LONGS pour pouvoir afficher quoi que ce soit ! Renversant NON ?

Bref, dans les deux cas, il y a donc une évidence, c'est que nous avons sur nos #Machines quelque part LES #Programmes adéquates, tant pour décoder que pour coder en retour réponses et données...
En clair, ou dit autrement, accessible à n'importe quel malveillant... Et même à supposer qu'en cours de route nous gaspillions une #Energie FOLLE et un temps FOU à transiter stupidement par mille et un #Serveur qui décrypte pour crypter à nouveau, quel que soit le nombre de transitaires ou intermédiaires, l'ensemble reste donc PARFAITEMENT ACCESSIBLE à qui le veut vraiment !


Alors, en résumé, hors donner une FAUSSE IMPRESSION de #Sécurité, ça vaut le coup de GASPILLER de l' #Energie, voire quelques finances, pour se doter d'un accès https ?


A méditer sérieusement, d'autant qu'il y a bien d'autres #Solutions et #Astuces, Yvanoph---