Forum Sistearth

Dans le but d'améliorer ne serait-ce qu'un peu la sécurité globale d'Internet, serait-il possible d'activer le https pour le site ?

je connais aucun site de jeu en https
le https c'est pour sécuriser des transferts d'information sensible, style paiement, banque, mutuelle, les emails... et éventuellement certain réseau sociaux.
je vois pas trop l'intérêt  ???

Bah, au moins en https les mots de passe ne sont pas transmis en clair sur le reseau...

Oui voilà les mots de passe, et ça empêche les interceptions (en wi-fi par exemple).
Et puis c'est pas compliqué à activer ! (sur Apache2 en tout cas, sur nginx je sais pas)
C'est pas parce que les autres sites de jeux ne le font pas qu'on ne doit pas le faire...

la page où on se loggue suffirait dans ce cas
et peut etre celle avec les infos genre mail

je m'interroge
si c'est si facile pkoi personne ne le fait...?

La gestion des certificats (officiels) est payante (je suis pas à 100% sûr)

Les certificats auto-signés c'est très bien.


A chaque chargement de page tu transmets un cookie de session qui peut être intercepté et utilisé pour se connecter sur ton compte.
De plus le changement http->https peut être chiant à gérer, donc bof :/


Parce que les gens n'y connaissent rien en sécurité ?
Parce qu'ils se disent tous que si les autres le font pas ça doit servir à rien ?

Peut être aussi parce que objectivement, un site de jeu c'est pas aussi critique et la cible de pirates qu'un site de banque, d'achat en ligne, etc.

Mais bon, si ça se fait easy..

Ils vont venir voler les opales d'Herumor, et vous allez moins rigoler !

J'ai envie de dire qu'y a bien plus urgent à corriger avant de penser au https 8-)

J'ai jamais configuré un serveur web pour du https.
je regarderai à l'occasion.

Ce qui est sur, par contre, c'est que la v4 sera en https :)

humm... effectivement faut payer un certificat ssl, cela va de 30 euros par an à "ho putain la vache ils sont tarés !"
 Tu as des offres cheap aussi, mais j'ai pas confiance dans les sites que j'ai pu voir.  >D
Aprés je connais pas les comptes de sistearth, mais je trouve cela un poil cher pour ce que cela apporte.
Parce qu'à part mon email et mon mot de passe, je vois pas trop ce qu'il y a de confidentiel sur sistearth.
Ciel on va voir que j'ai pas de petite culotte sous ma maille de bronze...  :-*

je poserais quand meme la question à mon copain pour savoir ce qu'il en pense, rapport à pirates...

car si j'ai bien compris le https assure que les données arrivent d'un point A à un point B sans être corrompues ni intercepté, mais après si les données sont une injection de code dans une faille, cela changera rien d'être en https.
Donc il faut voir ce que l'on veut protéger, et sur mon site c'est pareille, email et mot de passe, rien d'autre de sensible...
On a beau avoir les moyens de se payer un serveur dédié, bah 30 euros pour cela... Je pense que pour pirate y a plein d'autres choses à sécuriser avant cela.
Sistearth semble coder plus proprement à ce niveau là.
Je réfléchis un peu à voix haute, s'cusez...

Tohwi, vu que tu as l'air de t'y connaitre, pourrais-tu étayer ma culture perso sur la chose, car google n'est pas très volubile sur le sujet...

Tu parles avec ironie ou ... ?

Mais justement Hirisar, justement! :
Le code est tellement mal foutu qu'on est à l'abris de tout hack, le premier arrivé repartirait direct après la vision d'horreur qu'il aura eu en commençant à explorer le code! :D

+1 :D

Je dirais plutôt qu'il trouverait la faille tellement aberrante qu'il ne testera même pas si elle marche vraiment.

Il y a combien de joueurs sur Sist. ? 211 joueurs d'après la page d'accueil, alors le jour où un hacker viendra se faire chier à hacker Sist. pour 211 joueurs, les poules auront des dents.

Je veux dire que pour le même temps passé, ils pourraient faire chier des milliers de joueurs sur un jeu autrement plus connu.

Le https devrait être pour quand on dépassera le millier de joueurs.

Sur pirates-caraibes, on a notre pirate tunisien attitré  8)

Il a réussi à envoyer 1600 messages sur l'adresse mail d'un de nos admins parce que php mailer n'était pas à jour (mais en terme d'année --')
ce qui bizarrement est arrivé pendant une grande attaque massive de pirates informatiques sur les serveurs du monde entier
Depuis, notre serveur a mis en place un système contre les attaques DDOS, au point que j'ai passé toute la semaine dernière à leur demander d'augmenter si ou ça, car on arrêtait pas de se faire bloquer à cause du gros nombre d'images à charger...
Des images... une attaque DDOS, ils ont qq cours de réseau à prendre  :P

Après qq discussion, notre hacker tunisien est devenu notre "Koupain" et a checké le site et nous a trouvé 3 nouvelles failles, en plus 
En échange j'ai débloqué les IP de la tunisie qui était bloqué depuis lgtps suite à une première attaque (de toute façon vive les proxy)
Son mot d'ordre, personne ne hack pirate à part moi !

Donc heu, je suis pas sûre de savoir lequel des deux sites est le plus mal codé ^^'
C'était pas ironique  :lipsealed:

Sans même regarder ton code, on peut pas faire pire que Sist' ;)

cf
Il n'y a rien à payer... Les certificats signés par une autorité reconnues ne servent qu'à s'assurer qu'on communique bien avec le serveur attendu. Mais bon, je doute que quiconque s'amuse à  essayer de se faire passer pour Sist à coup de DNS hijacking ou autre pour récupérer quelques identifiants, quand il y a beaucoup plus simple pour y arriver vue la sécurité du site :)

Non non le https sert plutôt à éviter une interception d'une donnée quelconque sur un point quelconque du réseau. Ca peut être un mot de passe, ça peut être un cookie de session, mais ça peut aussi être n'importe quel message public ou privé qu'un mec lambda bien placé sur le réseau pourrait intercepter (sysadmin de ton FAI peu scrupuleux, routeur compromis ou beaucoup plus simplement ton voisin si t'es en wifi).
Je suis d'accord que c'est pas hyper indispensable, et que niveau sécu y'a des trucs beaucoup plus importants à corriger en priorité, mais bon je me suis dit ça après avoir activé le https sur plusieurs sites que je gère/héberge, et ça m'a pris 30 minutes à tout casser.
Genre moins que le temps que ça vous a pris de débattre sur ce topic... :)

Tohwi Sécuri !! En 30 minutes, c'est garantie !!

mais tu as pas des alertes de sécurité avec certain navigateur ?
genre le certificat n'est pas certifié ?
les gens flippent souvent à la vue de ce genre de message et fuient

Si.
Mais je vois pas le problème perso.
Je demande juste d'activer le https de toute façon, pas de le mettre par défaut.

une info :

N'oubliez pas qu'une version HTTPS d'un site peut créer du duplicate content avec la HTTP
Ce qui est très mauvais pour le référencement, google détestant voir du contenu en double
donc faut faire gaffe ;)

http://forum.webrankinfo.com/http-https-fait-duplicate-content-t152528.html

Je fouinais un peu dans les A&I, et je suis tombé dessus. Franchement, si c'est si facile à faire que tu le dis Tohwi ça serait sympa. S'pas parce que la sécurité est bazardée par plein de site et que c'est la foire aux failles dans sist qu'un soupçon de sécurité des données dans leur transmission serait de refus.  :loltooth:

Le référencement, bon je ne sais pas si c'est vital vu où on en est, donc entre perdre 0,1 joueur par google et gagner un soupçon de sécurité, prenons la sécurité des données.