Yvanoph Karim Modérateur ABC du Web Karim Yvanoph WebMaster 3Alannet webmaster@abc-du-web.com BP 116 7080 Menzel JEMIL Gouvernorat de BIZERTE Tunisie Yvanoph www.abc-du-web.com 0021625332209
Retour à l'Accueil du Mode d'Emploi du Forum XWebDesignor ?
   Accueil   Aide Rechercher Tags Identifiez-vous Inscrivez-vous  
Pages: [1]   Bas de page
  Imprimer  
Auteur Fil de discussion: [https] - Accès HTTP / HTTPS, quels différences et ... intérêts !  (Lu 56714 fois)
yvanoph
Administrator
Hero Member
*****
Hors ligne Hors ligne

Messages: 2 818


Le PIRE des défauts, ne pas RECONNAÎTRE une erreur


Voir le profil WWW
« le: Lun. 21 Mai 2018 à 00:20:02 »

Voilà déjà un moment que nous voyons fleurir des accès à nos #Sites habituels sous la forme https en lieu et place de l'http classique jusqu'à présent ? Et même PIRE, certains "WebMaster", gérant et/ou responsable de ces #Sites pour parler #Fraais, étant fiers de vous apporter une telle nouvelle "#Sécurité"...


Alors, benoîtement, je me pose, à votre place et puisque apparemment beaucoup se font GRUGER Choking sans même se poser de question Hausse les yeux, celle ci :

Est-ce bientôt FINI ... Attend voir... de NOUS prendre pour des ... Non mais... C.Ns finis Au s'cours ! ? ? ?

Car partout, depuis l'apparition officielle de tout cela, il nous est annoncé que cet accès serait TOTALEMENT ""#Sécurisé"... Et bien voilà qui est FAUX, ARCHI FAUX, TOTALEMENT FAUX, et ne doit SURTOUT PAS être cru aussi stupidement ?

Qui d'entre vous a cru bon de chercher à savoir ce que ce "truc" contient et représente réellement, vérifier le #Contenu de ses valeurs, ce qu'elles contiennent réellement etc. ?
Et surtout les risques encourus quant à passer par un tel accès ? OUI, vous avez BIEN lu, les risques à présenter son #Site sous un accès https...


Bien amicalement, Yvanoph---

Journalisée

La théorie, c'est quand on sait tout mais qu'absolument rien ne fonctionne !

La pratique, c'est quand tout fonctionne "farpaitement" sans vraiment savoir pourquoi, ni d'ailleurs  chercher à comprendre...

Chance inouïe, ici théorie et pratique fonctionnent  !
yvanoph
Administrator
Hero Member
*****
Hors ligne Hors ligne

Messages: 2 818


Le PIRE des défauts, ne pas RECONNAÎTRE une erreur


Voir le profil WWW
« Répondre #1 le: Lun. 21 Mai 2018 à 01:01:01 »

Et bien la toute première des choses pour présenter en https est de disposer de Clefs, représentant des Signatures, obtenues via un gestionnaire SSL/TLS pour créer des Certificats #SSL, leurs Signatures et les clés adéquates correspondantes ?

Tout cela fait partie de l'usage courant de #SSL pour assurer la "Sécurité" d'un #Site.
#SSL permet donc théoriquement de "sécuriser" les #Pages du #Site de telle façon que les données, genre Connexions (Identifiants, Mots de Passe, Adresses #Courriel etc.), numéros de #CB (Cartes Bancaires) etc., soient codées avant l'envoi plutôt que communiquées de manière lisible à tous.
Il est donc théoriquement important de sécuriser les #Pages de Connexion, d'Achats, de Règlement etc. comme toutes autres #Pages présentant ou collectant des Informations / Données délicates qui doivent transiter par les "tuyaux" d' #Internet, du #Web ?

Pour ce faire, vous pouvez vous adresser directement auprès des services de votre #Hébergeur sinon si différent auprès de votre #Registrar ? Voire carrément les créer vous même sur votre #Serveur :

Lien : https://certbot.eff.org/lets-encrypt/debianother-apache

Lien : https://letsencrypt.org/getting-started/

mais il en existe de nombreux autres ?


La toute première des choses contenues par ce genre de Certificat est l'identité exacte du propriétaire du #Site ! Et à ce stade, n'importe que générateur est bon pour vous le sortir gratuitement ?
Et vous obtiendrez de suite un Certificat #SSL, nommé "Certificate - CRT" !


Ensuite, un tel accès fera que vos #Contenus seront tous cryptés, ce dès le départ du #Serveur...
De même, sur la #Machine du #Visiteur, tous ses #Contenus seront eux AUSSI cryptés dès lors qu'il renverra des données dites sensibles ?

Car il faut bien comprendre la chaîne suivante :

#Ordinateur du #Serveur => #Réseau => #Machine du #Visiteur, écriture puis envoi d'une réponse ou même renvoi simple d'une requête => #Réseau => #Serveur => #Réseau => #DB du #Site par exemple ?
Mais les allers et retours peuvent être encore plus nombreux et complexes...

Ou, dit autrement, la chose devient LOURDE et plus difficile à faire transiter, toujours la même image pour facilement comprendre, en ce sens que faire passer un convoi exceptionnel aux heures de pointe sur le périphérique de #Paris est un non sens alors qu'un vélo, si tant est que ce soit autorisé, ou donc une moto, circulera sans aucun souci et sans risque à toute vitesse en plein milieu de la nuit ?


A suivre, Yvanoph---

Journalisée

La théorie, c'est quand on sait tout mais qu'absolument rien ne fonctionne !

La pratique, c'est quand tout fonctionne "farpaitement" sans vraiment savoir pourquoi, ni d'ailleurs  chercher à comprendre...

Chance inouïe, ici théorie et pratique fonctionnent  !
yvanoph
Administrator
Hero Member
*****
Hors ligne Hors ligne

Messages: 2 818


Le PIRE des défauts, ne pas RECONNAÎTRE une erreur


Voir le profil WWW
« Répondre #2 le: Lun. 21 Mai 2018 à 08:00:10 »

Donc pour aller plus loin, il faudra montrer "patte blanche"...


Et faire une demande #CSR officielle et complète. Justificatifs d'identité, personnel et/ou de raison sociale, de résidence (Actes de propriété, Baux...) etc. seront obligatoires et expédiés via la toile certes, mais dument contrôlés à réception, d'où un coût minimal à prévoir ? Car jusqu'aux numéros des documents expédiés dans les détails, tout sera vérifié...
Pour information à ce sujet, à l'époque (Il doit bien y avoir cinq ans ?), le moins cher que j'ai pu trouver sur la #Planète était en #Israël (Ils sont nombreux là bas à vivre de ça, ce qui leurs permet, entre autres, de TOUT savoir sur QUI fait QUOI sur la #Toile ?) et avait pris des semaines pour une centaine d'Euros / # par document (Devant prouver qu'il était normal qu'un Passeport #Fraais ait une Société en #Tu[color=#FFFnis[/color]ie !
Sachant que bien évidemment tout cela DOIT être refait à chaque date anniversaire, puisque devant prouver que l'organisme ET donc son représentant légal soient toujours bel et bien existant ? Vous n'avez le droit de décéder ou fermer la boutique qu'après la demande quoi...
Et en cours de route vous changez de gérant, de responsable d'une entreprise, vous recommencez, sauf à attendre l'année prochaine ?

Bref, en résumé, un tel #Certificat peut monter, SANS Assurances incluses, jusqu'à 1 500 !
Et comme chaque Certificat ne contient exclusivement qu'un seul #ND, la note grimpe VITE ? ? ?


Mais arrivé au bout du tunnel, vous aurez deux ou trois Clefs en main, se présentant sous les formes suivantes :

-----BEGIN CERTIFICATE-----
MIIG3zCCBcegAwIBAgISA6g3MxMjptWsUdNrGjjWoAkHMA0GCSqGSIb3DQEBCwUAMEoxCzAJBgNVBAY

.../...
TRENTE lignes comme ça Au s'cours !...
.../...
gRKG6XABlaVnYLtOp5O6UbMvOJoBfL+oFVmmRuC2eRLznCvlAqQRENTXWeZhQs3OqP6WKHk=
-----END CERTIFICATE-----


à coller dans la première case, dite Certificat #CRT, puis :

-----BEGIN RSA PRIVATE KEY-----
MIIG4gIBAAKCAYEA2cBRGa+/Ta50+cTFFYqmde2KraRUBQQJ75gcuwG23pZiI2XeTUJmviggyyw7yBF

.../...
TRENTE SIX lignes cette fois Au s'cours !...
.../...
LooGikwuqy4A9zTJOneqB+qHOWNP4AXTlLtBK3jlwJQMEut8LB1LPDsFT9SX2d23id+354+WzQjA=
-----END RSA PRIVATE KEY-----


dans la deuxième, dite "key", et ensuite, mais en option :

http(SANS s...)://cert.int-x3.letsencrypt.org/
-----BEGIN CERTIFICATE-----
MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/MSQwIgYDVQQKE

.../...
Que VINGT TROIS lignes Au s'cours !...
.../...
iWlkYcV4PIWL1iwBi8saCbGS5jN2p8M+X+Q7UNKEkROb3N6KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==
-----END CERTIFICATE-----


à coller dans la dernière Case nommée "Bundle", en fait pour déclarer les chemins accessoires genre sous #Site par exemple ?


Ce qui finalement vous donnera ça, cf. #Image ci dessous, avec le #ND sur #Fond BLEU !




Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre
?


A NOTER que le #Site COURANT, LUI, est toujours en accès http NORMAL Perfect ! par choix délibéré !

Lien : http://www.massagedasieetdailleurs.fr,

qui ne vous renverra ... Attend voir... SURTOUT PAS Non mais... sur un accès Dire quoi ? ? ? https Wouaïe la HONTE ? ?

Petit aparté pour vous montrer le #Code de la #Page ci dessus, codé dans #NP++ totalement en .php qui lui exécute les affichages, donc la partie visible dans un #Navigateur en xhtml, et directement, tant qu'à faire, en UTF-8 puisque la #DB est paramétrée ainsi.
A NOTER les indentations CLAIRES pour comprendre en un clin d'œil les imbrications, ainsi que l'ordre PARFAITEMENT LOGIQUE du #Contenu du #Code ?
Et dans ce genre d'exercice, les ATTENTION ! #Robots ou #Spiders ne s'y trompent pas Perfect ! Pengun's You hou ! ! !...




Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre
?


Et voilà bien le genre de #Page type nécessitant "théoriquement" un accès via https ? Un #Formulaire complet d'inscription, avec Données personnelles, Pseudonyme d'accès et Mot de passe :




Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre
?


ATTENTION, ces #Pages ne sont pas encore publiques, et sont donc incomplètes quant à des éléments indispensables, genre #Balises "alt" non encore remplies, #Lien #Xiti, Chrono de temps de chargement, Alerte de #CopyRight absents etc. ?


A poursuivre, Yvanoph---

Journalisée

La théorie, c'est quand on sait tout mais qu'absolument rien ne fonctionne !

La pratique, c'est quand tout fonctionne "farpaitement" sans vraiment savoir pourquoi, ni d'ailleurs  chercher à comprendre...

Chance inouïe, ici théorie et pratique fonctionnent  !
yvanoph
Administrator
Hero Member
*****
Hors ligne Hors ligne

Messages: 2 818


Le PIRE des défauts, ne pas RECONNAÎTRE une erreur


Voir le profil WWW
« Répondre #3 le: Lun. 21 Mai 2018 à 10:50:10 »

Tout d'abord sur l'identité du Propriétaire, belle théorie de #BE, Bureau d'Etude quoi... Car au premier rang, aucune identité n'est réellement contrôlée, et même une #ORDURE accomplie, genre à déclarer lors de l'achat du #ND, Nom de Domaine, pirate_certifie@gmail.com, résidant à #Metz, Rue des Dauphins, #Tunisie, Téléphone +49 30 590039?? (Ambassade de #France en #Allemagne...), peut présenter un tel #Certificat, d'autant qu'à ce niveau là, il ne coûte absolument rien ?
Enfin si, le temps de le paramétrer correctement Youpiii Pété de Rires...

Néanmoins, à ce stade, il y a de fortes chances que, à l'arrivée, vous voyiez apparaître ce genre de #Page ?




Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre
?


Bien évidemment, que des accès à des #DB soient par un https est normal, qu'il soit par un Certificat commun au #Serveur dédié à cet effet aussi dès lors qu'il est émis par votre #Hébergeur, et donc à son nom et non au vôtre ?
Et dans ce cas, le "WebMaster" ou plutôt Administrateur du #Site acceptera volontiers ce "risque" en poursuivant sa route sans aucune arrière pensée, alors qu'un #Visiteur lambda lui va FUIR immédiatement...

Ou PIRE, ce genre d' #ESCROC issu du #Bled, Saeed Hassan avec comme adresse #Courriel PORCfessionnel anmool@hotmail.com, hébergé chez #GoDaddy, dont j'ai fait sauté le #Site hier :




Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre
?


Lien : http://whois.domaintools.com/homelightsuccess.us


Néanmoins, vous pouvez en toute bonne foi demander à votre #Hébergeur de vous générer un Certificat standard ? Cf. #Image ci dessous :




Cliquer sur l'Image ci dessus pour l'ouvrir en GRAND dans une nouvelle Fenêtre
?


Et c'est bien le minimum possible à avoir gratuitement... Mais hélas, il ne reprend que les #Noms du #Site et du Propriétaire, ni plus ni moins, et génère un Cadenas OUVERT, comme bien démontré ci dessus (En bas à droite !)...
Mais fort heureusement pour lui, connaissant le propriétaire dudit #Site, j'ai continué sur cette #Page ? D'autant que c'était pour des tests, donc non grand public bien évidemment !


Presque au bout, enfin ... à mi parcours, Yvanoph---

Journalisée

La théorie, c'est quand on sait tout mais qu'absolument rien ne fonctionne !

La pratique, c'est quand tout fonctionne "farpaitement" sans vraiment savoir pourquoi, ni d'ailleurs  chercher à comprendre...

Chance inouïe, ici théorie et pratique fonctionnent  !
yvanoph
Administrator
Hero Member
*****
Hors ligne Hors ligne

Messages: 2 818


Le PIRE des défauts, ne pas RECONNAÎTRE une erreur


Voir le profil WWW
« Répondre #4 le: Lun. 21 Mai 2018 à 13:30:03 »

Et bien, mine de rien, ça n'y paraît pas, mais ils sont NOMBREUX...

Tout d'abords, le #Code est crypté, donc consommation d'#Energie pour le faire, plus de #Poids à transférer ?
Ensuite, nos #Machines ne sont point des devins... Je pense que vous en seriez quand même douté, NON ?
Donc il va de soit que pour que le #Navigateur du #Visiteur puis afficher quoi que ce soit dans son #Navigateur, il faut donc décrypter le #Code reçu et, ne pouvant le deviner, il va bien falloir le faire via un #Programme adéquate ? Donc #POLLUTION supplémentaire quant à transmettre ce genre de chose...
SANS oublier la même #POLLUTION supplémentaire sur la #Machine NI son usure supplémentaire ? ? ?

Dit autrement, pour visiter de SIMPLES #Pages informatives, il faut être un sacré "C.N" fini pour ne pas comprendre de suite que :

 - ça retarde l'affichage du #Contenu,

 - ça SURCHARGE et USE prématurément autant le #Serveur que l'AUTRE #Serveur hébergeant les Certificats (Donc des FRAIS de transports etc. indirects !) que la #Machine de tout #Visiteur,

 - ça oblige chaque requête et/ou chaque réponse du #Visiteur à être cryptée,

 - donc ça POLLUE INUTILEMENT la #Planète,

 - d'autant que ça n'apporte réellement AUCUNE SÉCURITÉ, vous allez comprendre pourquoi, SI vous ne l'avez pas déjà compris,

 - et donc en résumé, ça ne sert STRICTEMENT à RIEN,

sinon, avantage non indéniable mas pas forcément utile, que démontrer le niveau incroyable de bêtise de nombre de "WebMaster"s ou Administrateurs de #Sites qui font là preuve de réelle stupidité sinon réelle incompétence notoire ?


Allez, n'en manque plus qu'un ? Cordialement, Yvanoph---

Journalisée

La théorie, c'est quand on sait tout mais qu'absolument rien ne fonctionne !

La pratique, c'est quand tout fonctionne "farpaitement" sans vraiment savoir pourquoi, ni d'ailleurs  chercher à comprendre...

Chance inouïe, ici théorie et pratique fonctionnent  !
yvanoph
Administrator
Hero Member
*****
Hors ligne Hors ligne

Messages: 2 818


Le PIRE des défauts, ne pas RECONNAÎTRE une erreur


Voir le profil WWW
« Répondre #5 le: Lun. 21 Mai 2018 à 14:10:02 »

Et bien là, vous allez être très désagréablement surpris, mais la suite est pourtant LOGIQUE...


Par contre, ladite suite, ce sera pour ce soir, après le #Jardin, et puis là, à plus de 6 / SIX heures pour rédiger ce #Magistral, hors réalisation des #Images !


Donc "à tout à allure", pardon, à tout à l'heure, Yvanoph---

Journalisée

La théorie, c'est quand on sait tout mais qu'absolument rien ne fonctionne !

La pratique, c'est quand tout fonctionne "farpaitement" sans vraiment savoir pourquoi, ni d'ailleurs  chercher à comprendre...

Chance inouïe, ici théorie et pratique fonctionnent  !
yvanoph
Administrator
Hero Member
*****
Hors ligne Hors ligne

Messages: 2 818


Le PIRE des défauts, ne pas RECONNAÎTRE une erreur


Voir le profil WWW
« Répondre #6 le: Lun. 21 Mai 2018 à 19:55:02 »

Alors, si vous avez bien lu et surtout compris ce qui est au dessus, concernant la section "excès de #Poids", vous avez bien du noter qu'un tel accès implique un #Code crypté ?


Et à première vue, tout cela est fort plaisant sinon même très rassurant ? Mais il y a comme un hic ... Attend voir..., et même un Choking très GROS HIC Hausse les yeux ! En effet, un truc crypté n'est pas lisible, disons compréhensible pour être plus explicite, at aucun #Navigateur ne saurait donc le comprendre puis ... Poum poum pidoum... par conséquent l'afficher Pété de Rires ?
Il faut donc passer pas la "case" décryptage... Mais encore faut-il avoir LE #Programme adéquate.
Et là nous avons deux choix devant nous :

- soit il est intégré d'office aux #Navigateurs,

- soit il arrivera avec les lots chargés, ce qui expliquerait largement l'excès de #Poids, nonobstant le passage obligé par des #Serveurs intermédiaires, ce qui est supportable après le chargement de la #Page comme des #Compteurs ou autre, mais certainement PAS AVANT, ce qui explique largement la lenteur à s'afficher ?

A NOTER qu'à titre d'information relevés les chiffres suivants :

- Connexion #ADSL, presque transparent, 10 à 15 % de temps supplémentaire pour un affichage en https comparativement à un simple http, SOUS RÉSERVE que les #Serveurs intermédiaires aient la possibilité de répondre quasi immédiatement ?

- Connexion #WiFi très correcte, de l'ordre de 40 % supplémentaire, avec les mêmes restrictions d'accessibilité citées ci dessus...

- Connexion #WiFi faible, de l'ordre de deux à trois barres, de 120 à 150 % de temps supplémentaire, voire même éjection d'office du #Site pour temps de réponse TROP LONGS pour pouvoir afficher quoi que ce soit ! Renversant NON ?

Bref, dans les deux cas, il y a donc une évidence, c'est que nous avons sur nos #Machines quelque part LES #Programmes adéquates, tant pour décoder que pour coder en retour réponses et données...
En clair, ou dit autrement, accessible à n'importe quel malveillant... Et même à supposer qu'en cours de route nous gaspillions une #Energie FOLLE et un temps FOU à transiter stupidement par mille et un #Serveur qui décrypte pour crypter à nouveau, quel que soit le nombre de transitaires ou intermédiaires, l'ensemble reste donc PARFAITEMENT ACCESSIBLE à qui le veut vraiment !


Alors, en résumé, hors donner une FAUSSE IMPRESSION de #Sécurité, ça vaut le coup de GASPILLER de l' #Energie, voire quelques finances, pour se doter d'un accès https ?


A méditer sérieusement, d'autant qu'il y a bien d'autres #Solutions et #Astuces, Yvanoph---

Journalisée

La théorie, c'est quand on sait tout mais qu'absolument rien ne fonctionne !

La pratique, c'est quand tout fonctionne "farpaitement" sans vraiment savoir pourquoi, ni d'ailleurs  chercher à comprendre...

Chance inouïe, ici théorie et pratique fonctionnent  !
Tags: Serveur Hébergement http https https: Sécurité ? https: ESCROSQUERIE ! https:MENSONGE ! 
Pages: [1]   Haut de page
  Imprimer  
 
Aller à:  

Propulsé par MySQL Propulsé par PHP Powered by SMF 1.1.20 | SMF © 2013, Simple Machines
Soutenir Yvanoph par un Don ?
Boréal - V 1.0 by Yvanoph | Sitemap
XHTML 1.0 Transitionnel valide ! CSS valide !
Page générée en 0.082 secondes avec 22 requêtes.