Projet

Général

Profil

Actions

Demande #1857

fermé

Cas du formulaire de login de la page http://www.april.org

Ajouté par Vincent-Xavier JUMEL il y a presque 8 ans. Mis à jour il y a presque 7 ans.

Statut:
Fermé
Priorité:
Élevée
Assigné à:
Catégorie:
-
Version cible:
Début:
08/02/2017
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
2 Facile

Description

Visiblement https://agir.april.org/issues/1030#note-1 n'a pas été traité et c'est assez fâcheux en terme de sécurité. Maintenant qu'on a des vrais certificats est-ce qu'on ne pourrait pas tout simplement forcer le https:// sur april.org. C'est d'ailleurs ce que ne vont pas tarder à recommander FF et Chromium.


Demandes liées 1 (0 ouverte1 fermée)

Duplique Admins - Demande #1752: Implémenter HTTP Strict Transport Security sur april.orgFerméBenjamin Drieu16/06/2016

Actions

Mis à jour par François Poulain il y a presque 8 ans

Voir https://agir.april.org/issues/1686

Solution: patcher drupal ou changer pour autre chose.

Mis à jour par Vincent-Xavier JUMEL il y a presque 8 ans

Mais tout mettre en https ne résout pas le souci ?

Mis à jour par François Poulain il y a presque 8 ans

Si. Mais perso ça me chagrine que des infos publiques ne soient pas accessibles en clair et nécessitent des tonnes de calculs pour être lisibles.

Mis à jour par Edouard Dausque il y a presque 8 ans

Dans ce cas enlever le formulaire de login et le remplacer par un lien ?

Mis à jour par Vincent-Xavier JUMEL il y a presque 8 ans

François Poulain a écrit :

Si. Mais perso ça me chagrine que des infos publiques ne soient pas accessibles en clair et nécessitent des tonnes de calculs pour être lisibles.

Sauf qu'on ne sait pas tellement gérer ça autrement pour l'instant. Et personnellement, ça ne me chagrine pas plus que ça, d'autant plus que ça authentifie la source.

Mis à jour par Quentin CHERGUI il y a presque 8 ans

Les temps de calcul pour TLS sont négligeables sur une machine moderne avec le trafic que l'on a.

Et si les cookies de sessions passent en clair ensuite, ça annule en partie l'intérêt de faire du TLS.

Ça ne bloque aucun visiteur de le faire sur la partie publique. Et ça complique la vie à quelqu'un qui veut voir exactement quelles pages un utilisateur a vu (bien que ce soit un risque assez négligeable sur le site de l'April).

Enfin ça préserve des saloperies style proxys transparents qui "optimisent" les pages dont les opérateurs mobiles sont (étaient ?) friands.

En l'état, j'ai du mal à voir quels avantages ça aurait de ne pas le faire.

Mis à jour par Benjamin Drieu il y a presque 7 ans

  • Statut changé de Nouveau à Confirmé
  • Assigné à mis à Benjamin Drieu
  • Priorité changé de Normale à Élevée
  • Version cible changé de Backlog à Février 2018

Mis à jour par Benjamin Drieu il y a presque 7 ans

  • Duplique Demande #1752: Implémenter HTTP Strict Transport Security sur april.org ajouté

Mis à jour par Benjamin Drieu il y a presque 7 ans

  • Statut changé de Confirmé à Résolu

Mis à jour par Quentin Gibeaux il y a presque 7 ans

  • Statut changé de Résolu à Fermé
Actions

Formats disponibles : Atom PDF