Url forum Mercotribe non sécurisé

Url forum Mercotribe non sécurisé

Messagepar argos » 01 AMvSam, 07 Aoû 2021 11:07:52 +000007Samedi 2009 041140

Salut,

Pourquoi est-ce que l'adresse du forum n'est pas protégé par un certificat de chiffrement TLS comme let's Encrypt (gratuit et qui permet d'avoir le https dans l'url et de protéger le fofo d'une attaque type MITM)?

https.png
https.png (26.71 Kio) Consulté 21671 fois
Avatar de l’utilisateur
argos
pétrolette
pétrolette
 
Messages: 49
Inscrit le: 01 PMvLun, 17 Juin 2013 15:22:04 +000022Lundi 2009 040340
Localisation: ici et maintenant

Re: Url forum Mercotribe non sécurisé

Messagepar max551 » 01 AMvSam, 07 Aoû 2021 11:25:45 +000025Samedi 2009 041140

Le forum n'est pas tout jeune et à l'époque c'était loin d'être systématique sur les site. apres en vrai les info qui circulent entre ton navigateur et le forum n'ont pas vraiment besoin d'être crypté puisque c'est publique.
Avatar de l’utilisateur
max551
super lourd
super lourd
 
Messages: 1681
Inscrit le: 01 PMvVen, 04 Oct 2013 17:02:21 +000002Vendredi 2009 040540
Localisation: 16320

Re: Url forum Mercotribe non sécurisé

Messagepar Yool » 01 PMvSam, 07 Aoû 2021 12:13:37 +000013Samedi 2009 041240

max551 a écrit:Le forum n'est pas tout jeune et à l'époque c'était loin d'être systématique sur les site. apres en vrai les infos qui circulent entre ton navigateur et le forum n'ont pas vraiment besoin d'être crypté puisque c'est publique.

Chiffrées* :mrgreen:
Bah mettons que tu tombes en rade et que tu viens voir comment te démerder en allant au bar du coin qui propose un wifi public, tu te connectes au forum (même si c'est totomatique) bah y à ton mot de passe qui peu fuité et pour peu que ton combo pseudo/mot de passe soit similaire sur d'autre site (comme la plupart des gens) bah te voila avec tes autres compte non publique piraté :geek:

Et c'est assez simple à mettre en place une attaque de ce genre, sur smartphone y a Zanti qui le fait très facilement, sans connaissance particulière en cybersec par exemple
Avatar de l’utilisateur
Yool
fourgon
fourgon
 
Messages: 288
Inscrit le: 01 PMvMar, 09 Oct 2018 20:29:27 +000029Mardi 2009 040840
Localisation: Latitude : 44.3393627 | Longitude : 1.2085088000000042

Re: Url forum Mercotribe non sécurisé

Messagepar loiseleur » 01 PMvSam, 07 Aoû 2021 12:32:11 +000032Samedi 2009 041240

Ya pas vraiment de réponse à la question du pourquoi.
Je vais regarder du côté de let's encrypt. ;)
Avatar de l’utilisateur
loiseleur
Moderateur
 
Messages: 11284
Inscrit le: 01 PMvMer, 06 Aoû 2008 14:40:56 +000040Mercredi 2009 040240
Localisation: Tulle

Re: Url forum Mercotribe non sécurisé

Messagepar argos » 01 PMvSam, 07 Aoû 2021 12:56:41 +000056Samedi 2009 041240

max551 a écrit:apres en vrai les info qui circulent entre ton navigateur et le forum n'ont pas vraiment besoin d'être crypté puisque c'est publique.


Comme le souligne Yool, c'est pas tellement au niveau du chiffrement des échanges courant entre le serveur et ton navigateur mais celui de l'identifiant et mdp sur un point d'acces publique ou de rogue hotspot ;)

En ce qui me concerne je passe toutes mes connection par vpn...
Avatar de l’utilisateur
argos
pétrolette
pétrolette
 
Messages: 49
Inscrit le: 01 PMvLun, 17 Juin 2013 15:22:04 +000022Lundi 2009 040340
Localisation: ici et maintenant

Re: Url forum Mercotribe non sécurisé

Messagepar Geronimo aka Dj-M » 01 PMvVen, 21 Juil 2023 19:42:14 +000042Vendredi 2009 040740

Sachez que je me suis fait piraté le mot de passe du forum, et comme j'utilisais ce mot de passe sur d'autre site, j'ai vite tout changé sauf celui du forum car c'est pas grave y a pas trop d'info bancaire ici :lol:
Avatar de l’utilisateur
Geronimo aka Dj-M
poids lourd
poids lourd
 
Messages: 807
Inscrit le: 01 PMvMer, 13 Oct 2010 18:26:54 +000026Mercredi 2009 040640
Localisation: 81-31-82-32-40-33-47-46-24-12-34-11-09-65-68-Swiss

Re: Url forum Mercotribe non sécurisé

Messagepar loiseleur » 01 PMvSam, 22 Juil 2023 14:55:10 +000055Samedi 2009 040240

Ouai je vais refaire un mail à l'hébergeur pour passer en https. :oops:
Avatar de l’utilisateur
loiseleur
Moderateur
 
Messages: 11284
Inscrit le: 01 PMvMer, 06 Aoû 2008 14:40:56 +000040Mercredi 2009 040240
Localisation: Tulle

Re: Url forum Mercotribe non sécurisé

Messagepar Geronimo aka Dj-M » 01 PMvSam, 22 Juil 2023 16:23:34 +000023Samedi 2009 040440

Ce ne sera pas du luxe car étant donné que le forum possède plein de formulaires de saisi, il est facile pour les masturbateurs de clavier de piraté des sites comme celui si, je le sais car mon ancien site perso, possédé des formulaires de saisi, et j'ai tout perdu mais il faut dire qu'à l'époque j'avais un serveur free gratuit donc niveau sécurité c'est pas le top. Maintenant j'ai un serveur ovh et aucune page de saisi, je fait tout par logiciel ou directement sur l'interface ovh.
Avatar de l’utilisateur
Geronimo aka Dj-M
poids lourd
poids lourd
 
Messages: 807
Inscrit le: 01 PMvMer, 13 Oct 2010 18:26:54 +000026Mercredi 2009 040640
Localisation: 81-31-82-32-40-33-47-46-24-12-34-11-09-65-68-Swiss

Re: Url forum Mercotribe non sécurisé

Messagepar max551 » 01 PMvMar, 25 Juil 2023 19:11:06 +000011Mardi 2009 040740

Yool a écrit:
max551 a écrit:Chiffrées* :mrgreen:

Geek spoted
Avatar de l’utilisateur
max551
super lourd
super lourd
 
Messages: 1681
Inscrit le: 01 PMvVen, 04 Oct 2013 17:02:21 +000002Vendredi 2009 040540
Localisation: 16320

Re: Url forum Mercotribe non sécurisé

Messagepar max551 » 01 PMvMar, 25 Juil 2023 19:22:48 +000022Mardi 2009 040740

Geronimo aka Dj-M a écrit:Ce ne sera pas du luxe car étant donné que le forum possède plein de formulaires de saisi, il est facile pour les masturbateurs de clavier de piraté des sites comme celui si, je le sais car mon ancien site perso, possédé des formulaires de saisi, et j'ai tout perdu mais il faut dire qu'à l'époque j'avais un serveur free gratuit donc niveau sécurité c'est pas le top. Maintenant j'ai un serveur ovh et aucune page de saisi, je fait tout par logiciel ou directement sur l'interface ovh.


Le problème que tu indiques est différent du chiffrement des échanges du site. il s'agit ici d'une faille d'injection (sql souvent) qui permet de faire passer des commandes dans les champs de saisi. La plupart du temps ce genre de faille n'existe pas sur des sites comme un moteur de forum fourni par un editeur. Si elles existent elles sont souvent patchée.
Il existent d'autre faille liée plutot au librairie utilisée par le site (genre php) encore une fois elles sont patchée par l'editeur au fur et à mesure qu'elles sont divulguées.
Le gros problème c'est qu'une fois découverte les failles et leurs exploit est disponible publiquement. Si le site n'est pas mise a jour elles sont facilement exploitable via des scripts automatiques qui vont se charger de trouver le site de trouver les failles et de les exploiter.
La plupart du temps le bu et d'extraire la liste des utilisateurs et leur mot de passe afin de voir si a tout hasard ils n'utilisent pas le meme mot de passe sur d'autre site (genre gmail) ou d'utiliser les infos pour faire du hameçonnage.

le https pour résumer simplement il s'agit d'un système de cadenas et de clé. le site fournis un cadenas à tout le monde dont lui seul à la cle. nous envoyons un code secret qui est mis dans une boite que l'on ferme avec le cadenas. le site ouvre la boite avec sa clé et regarde le code. tout les échange suivant se feront avec des boites à code qui s'ouvre avec ce code . sans ca chaque echange est lisible par tout le monde y compris le login/mot de passe du formulaire de login :mrgreen:
Avatar de l’utilisateur
max551
super lourd
super lourd
 
Messages: 1681
Inscrit le: 01 PMvVen, 04 Oct 2013 17:02:21 +000002Vendredi 2009 040540
Localisation: 16320

Re: Url forum Mercotribe non sécurisé

Messagepar Geronimo aka Dj-M » 01 PMvMar, 25 Juil 2023 21:17:55 +000017Mardi 2009 040940

max551 a écrit:
Le problème que tu indiques est différent du chiffrement des échanges du site. [...]

:mrgreen:


;) oui

T'es plus caler que moi :mrgreen: j'ai laché l'affaire avec le codage vers les années 2005 quand les script, java et compagnie sont arrivé en masse .... je suis resté bloqué ou Woueb 1.0 avec des sites où la seul dynamique était les gif en abondance :lol:
Avatar de l’utilisateur
Geronimo aka Dj-M
poids lourd
poids lourd
 
Messages: 807
Inscrit le: 01 PMvMer, 13 Oct 2010 18:26:54 +000026Mercredi 2009 040640
Localisation: 81-31-82-32-40-33-47-46-24-12-34-11-09-65-68-Swiss

Re: Url forum Mercotribe non sécurisé

Messagepar jim » 01 AMvLun, 31 Juil 2023 04:38:30 +000038Lundi 2009 040440

c'est cela oui :roll: :mrgreen:
Image on ne fait pas du neuf avec du vieux !enfin bon, on essaye quand même ...
ImageImageImage
Avatar de l’utilisateur
jim
convoi exceptionnel
convoi exceptionnel
 
Messages: 2823
Inscrit le: 01 PMvLun, 04 Aoû 2008 21:41:43 +000041Lundi 2009 040940
Localisation: Kemper (29)


Retourner vers Suggestions & Idées

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité