Connexion avec identifiant, mot de passe et durée de la session
Rechercher
Accueil Aide MembresCalendrier Sistearth Wiki Inscrivez-vous
Nouvelles: [1/1] Pour tout problème lié à votre accès au forum, contactez Arcadia ou Oniria dans le jeu.
Pages: [1] 2   Bas de page
  Imprimer  
Auteur Fil de discussion: https  (Lu 7537 fois)
Tohwi
Prince (175)
Seizon
 

Hors ligne Hors ligne

Messages: 1737



Fiche de perso Voir le profil
« le: 16 Mars 2013 à 12:15:52 »

Dans le but d'améliorer ne serait-ce qu'un peu la sécurité globale d'Internet, serait-il possible d'activer le https pour le site ?
Journalisée
Elysha
Citoyenne (8)
Inactifs
 

Hors ligne Hors ligne

Messages: 303



Fiche de perso Voir le profil WWW
« Répondre #1 le: 16 Mars 2013 à 15:28:05 »

je connais aucun site de jeu en https
le https c'est pour sécuriser des transferts d'information sensible, style paiement, banque, mutuelle, les emails... et éventuellement certain réseau sociaux.
je vois pas trop l'intérêt  Huh?
Journalisée

Mel
Traître (1)
Administrateur
 
*****
Hors ligne Hors ligne

Messages: 1724



Fiche de perso Voir le profil WWW
« Répondre #2 le: 16 Mars 2013 à 16:44:53 »

Bah, au moins en https les mots de passe ne sont pas transmis en clair sur le reseau...
Journalisée
Tohwi
Prince (175)
Seizon
 

Hors ligne Hors ligne

Messages: 1737



Fiche de perso Voir le profil
« Répondre #3 le: 17 Mars 2013 à 18:07:30 »

Oui voilà les mots de passe, et ça empêche les interceptions (en wi-fi par exemple).
Et puis c'est pas compliqué à activer ! (sur Apache2 en tout cas, sur nginx je sais pas)
C'est pas parce que les autres sites de jeux ne le font pas qu'on ne doit pas le faire...
Journalisée
Elysha
Citoyenne (8)
Inactifs
 

Hors ligne Hors ligne

Messages: 303



Fiche de perso Voir le profil WWW
« Répondre #4 le: 18 Mars 2013 à 00:15:48 »

la page où on se loggue suffirait dans ce cas
et peut etre celle avec les infos genre mail

je m'interroge
si c'est si facile pkoi personne ne le fait...?
Journalisée

Hirisar
Citoyen (2)
Modérateur
 
*****
Hors ligne Hors ligne

Messages: 841



Fiche de perso Voir le profil
« Répondre #5 le: 18 Mars 2013 à 14:59:59 »

La gestion des certificats (officiels) est payante (je suis pas à 100% sûr)
Journalisée
Tohwi
Prince (175)
Seizon
 

Hors ligne Hors ligne

Messages: 1737



Fiche de perso Voir le profil
« Répondre #6 le: 18 Mars 2013 à 21:08:32 »

Les certificats auto-signés c'est très bien.

la page où on se loggue suffirait dans ce cas
et peut etre celle avec les infos genre mail

A chaque chargement de page tu transmets un cookie de session qui peut être intercepté et utilisé pour se connecter sur ton compte.
De plus le changement http->https peut être chiant à gérer, donc bof :/

je m'interroge
si c'est si facile pkoi personne ne le fait...?

Parce que les gens n'y connaissent rien en sécurité ?
Parce qu'ils se disent tous que si les autres le font pas ça doit servir à rien ?
« Dernière édition: 21 Mars 2013 à 15:42:59 par Tohwi » Journalisée
Ixiniaä Naha
Reine (476)
Reikon
 

Hors ligne Hors ligne

Messages: 1715



Fiche de perso Voir le profil
« Répondre #7 le: 18 Mars 2013 à 21:58:11 »

Parce que les gens n'y connaissent rien en sécurité ?
Parce qu'ils se disent tous que si les autres le font pas ça doit servir à rien ?

Peut être aussi parce que objectivement, un site de jeu c'est pas aussi critique et la cible de pirates qu'un site de banque, d'achat en ligne, etc.

Mais bon, si ça se fait easy..
Journalisée

Attention, Ixiniaä est méchante, froide, manipulatrice et parfois irrespectueuse.
Elle recherche le profit et l'accomplissement de ses noirs desseins.
Ce comportement est à différencier du joueur.

Ixiniaä dite "La Maudite".
Shina
Reine (176)
Inactifs
 

Hors ligne Hors ligne

Messages: 1532



Fiche de perso Voir le profil
« Répondre #8 le: 18 Mars 2013 à 22:12:46 »

Ils vont venir voler les opales d'Herumor, et vous allez moins rigoler !
Journalisée

Ce post n'est pas agressif. Merci de votre compréhension.
Hirisar
Citoyen (2)
Modérateur
 
*****
Hors ligne Hors ligne

Messages: 841



Fiche de perso Voir le profil
« Répondre #9 le: 18 Mars 2013 à 23:46:26 »

Mais bon, si ça se fait easy..

J'ai envie de dire qu'y a bien plus urgent à corriger avant de penser au https 8-)
Journalisée
Mel
Traître (1)
Administrateur
 
*****
Hors ligne Hors ligne

Messages: 1724



Fiche de perso Voir le profil WWW
« Répondre #10 le: 19 Mars 2013 à 02:28:24 »

J'ai jamais configuré un serveur web pour du https.
je regarderai à l'occasion.

Ce qui est sur, par contre, c'est que la v4 sera en https Sourire
Journalisée
Elysha
Citoyenne (8)
Inactifs
 

Hors ligne Hors ligne

Messages: 303



Fiche de perso Voir le profil WWW
« Répondre #11 le: 20 Mars 2013 à 04:08:51 »

humm... effectivement faut payer un certificat ssl, cela va de 30 euros par an à "ho putain la vache ils sont tarés !"
 Tu as des offres cheap aussi, mais j'ai pas confiance dans les sites que j'ai pu voir.  Diabolique
Aprés je connais pas les comptes de sistearth, mais je trouve cela un poil cher pour ce que cela apporte.
Parce qu'à part mon email et mon mot de passe, je vois pas trop ce qu'il y a de confidentiel sur sistearth.
Ciel on va voir que j'ai pas de petite culotte sous ma maille de bronze...  Bisous

je poserais quand meme la question à mon copain pour savoir ce qu'il en pense, rapport à pirates...

car si j'ai bien compris le https assure que les données arrivent d'un point A à un point B sans être corrompues ni intercepté, mais après si les données sont une injection de code dans une faille, cela changera rien d'être en https.
Donc il faut voir ce que l'on veut protéger, et sur mon site c'est pareille, email et mot de passe, rien d'autre de sensible...
On a beau avoir les moyens de se payer un serveur dédié, bah 30 euros pour cela... Je pense que pour pirate y a plein d'autres choses à sécuriser avant cela.
Sistearth semble coder plus proprement à ce niveau là.
Je réfléchis un peu à voix haute, s'cusez...

Tohwi, vu que tu as l'air de t'y connaitre, pourrais-tu étayer ma culture perso sur la chose, car google n'est pas très volubile sur le sujet...
Journalisée

Hirisar
Citoyen (2)
Modérateur
 
*****
Hors ligne Hors ligne

Messages: 841



Fiche de perso Voir le profil
« Répondre #12 le: 20 Mars 2013 à 13:34:09 »


Sistearth semble coder plus proprement à ce niveau là.


Tu parles avec ironie ou ... ?
Journalisée
Seigneur Nano
Citoyen (13)
Inactifs
 

Hors ligne Hors ligne

Messages: 1616


Fantasmagorique


Fiche de perso Voir le profil
« Répondre #13 le: 20 Mars 2013 à 13:42:39 »

Mais justement Hirisar, justement! :
Le code est tellement mal foutu qu'on est à l'abris de tout hack, le premier arrivé repartirait direct après la vision d'horreur qu'il aura eu en commençant à explorer le code! Très souriant
Journalisée

Nano - lEd'A .
Black Jack
Arrivant (0)
Inactifs
 

Hors ligne Hors ligne

Messages: 2244

Le Clan du Savoir


Fiche de perso Voir le profil
« Répondre #14 le: 20 Mars 2013 à 16:06:05 »

+1 Très souriant
Journalisée

Batisseur inegale.
Mel
Traître (1)
Administrateur
 
*****
Hors ligne Hors ligne

Messages: 1724



Fiche de perso Voir le profil WWW
« Répondre #15 le: 20 Mars 2013 à 18:37:21 »

Mais justement Hirisar, justement! :
Le code est tellement mal foutu qu'on est à l'abris de tout hack, le premier arrivé repartirait direct après la vision d'horreur qu'il aura eu en commençant à explorer le code! Très souriant
Je dirais plutôt qu'il trouverait la faille tellement aberrante qu'il ne testera même pas si elle marche vraiment.
Journalisée
Tagornis
Arrivant (0)
Inactifs
 

Hors ligne Hors ligne

Messages: 143


SSN


Fiche de perso Voir le profil
« Répondre #16 le: 20 Mars 2013 à 21:12:23 »

Il y a combien de joueurs sur Sist. ? 211 joueurs d'après la page d'accueil, alors le jour où un hacker viendra se faire chier à hacker Sist. pour 211 joueurs, les poules auront des dents.

Je veux dire que pour le même temps passé, ils pourraient faire chier des milliers de joueurs sur un jeu autrement plus connu.

Le https devrait être pour quand on dépassera le millier de joueurs.
Journalisée
Elysha
Citoyenne (8)
Inactifs
 

Hors ligne Hors ligne

Messages: 303



Fiche de perso Voir le profil WWW
« Répondre #17 le: 20 Mars 2013 à 22:23:49 »

Sur pirates-caraibes, on a notre pirate tunisien attitré  Cool

Il a réussi à envoyer 1600 messages sur l'adresse mail d'un de nos admins parce que php mailer n'était pas à jour (mais en terme d'année --')
ce qui bizarrement est arrivé pendant une grande attaque massive de pirates informatiques sur les serveurs du monde entier
Depuis, notre serveur a mis en place un système contre les attaques DDOS, au point que j'ai passé toute la semaine dernière à leur demander d'augmenter si ou ça, car on arrêtait pas de se faire bloquer à cause du gros nombre d'images à charger...
Des images... une attaque DDOS, ils ont qq cours de réseau à prendre  Tire la langue

Après qq discussion, notre hacker tunisien est devenu notre "Koupain" et a checké le site et nous a trouvé 3 nouvelles failles, en plus 
En échange j'ai débloqué les IP de la tunisie qui était bloqué depuis lgtps suite à une première attaque (de toute façon vive les proxy)
Son mot d'ordre, personne ne hack pirate à part moi !

Donc heu, je suis pas sûre de savoir lequel des deux sites est le plus mal codé ^^'
C'était pas ironique  lipsealed
Journalisée

Hirisar
Citoyen (2)
Modérateur
 
*****
Hors ligne Hors ligne

Messages: 841



Fiche de perso Voir le profil
« Répondre #18 le: 20 Mars 2013 à 23:04:53 »

Sans même regarder ton code, on peut pas faire pire que Sist' Clin d'oeil
Journalisée
Tohwi
Prince (175)
Seizon
 

Hors ligne Hors ligne

Messages: 1737



Fiche de perso Voir le profil
« Répondre #19 le: 21 Mars 2013 à 15:53:16 »

humm... effectivement faut payer un certificat ssl, cela va de 30 euros par an à "ho putain la vache ils sont tarés !"
 Tu as des offres cheap aussi, mais j'ai pas confiance dans les sites que j'ai pu voir.  Diabolique
Aprés je connais pas les comptes de sistearth, mais je trouve cela un poil cher pour ce que cela apporte.
Parce qu'à part mon email et mon mot de passe, je vois pas trop ce qu'il y a de confidentiel sur sistearth.
Ciel on va voir que j'ai pas de petite culotte sous ma maille de bronze...  Bisous
cf
Les certificats auto-signés c'est très bien.
Il n'y a rien à payer... Les certificats signés par une autorité reconnues ne servent qu'à s'assurer qu'on communique bien avec le serveur attendu. Mais bon, je doute que quiconque s'amuse à  essayer de se faire passer pour Sist à coup de DNS hijacking ou autre pour récupérer quelques identifiants, quand il y a beaucoup plus simple pour y arriver vue la sécurité du site Sourire

Non non le https sert plutôt à éviter une interception d'une donnée quelconque sur un point quelconque du réseau. Ca peut être un mot de passe, ça peut être un cookie de session, mais ça peut aussi être n'importe quel message public ou privé qu'un mec lambda bien placé sur le réseau pourrait intercepter (sysadmin de ton FAI peu scrupuleux, routeur compromis ou beaucoup plus simplement ton voisin si t'es en wifi).
Je suis d'accord que c'est pas hyper indispensable, et que niveau sécu y'a des trucs beaucoup plus importants à corriger en priorité, mais bon je me suis dit ça après avoir activé le https sur plusieurs sites que je gère/héberge, et ça m'a pris 30 minutes à tout casser.
Genre moins que le temps que ça vous a pris de débattre sur ce topic... Sourire
Journalisée
Pages: [1] 2   Haut de page
  Imprimer  
 
Aller à:  

Propulsé par MySQL Propulsé par PHP Powered by SMF 1.1.20 | SMF © 2006-2008, Simple Machines XHTML 1.0 Transitionnel valide ! CSS valide !
Reflection Theme by [cer]
Page générée en 0.035 secondes avec 23 requêtes.