Demande #1857
ferméCas du formulaire de login de la page http://www.april.org
0%
Description
Visiblement https://agir.april.org/issues/1030#note-1 n'a pas été traité et c'est assez fâcheux en terme de sécurité. Maintenant qu'on a des vrais certificats est-ce qu'on ne pourrait pas tout simplement forcer le https:// sur april.org. C'est d'ailleurs ce que ne vont pas tarder à recommander FF et Chromium.
Mis à jour par François Poulain il y a presque 8 ans
Voir https://agir.april.org/issues/1686
Solution: patcher drupal ou changer pour autre chose.
Mis à jour par Vincent-Xavier JUMEL il y a presque 8 ans
Mais tout mettre en https ne résout pas le souci ?
Mis à jour par François Poulain il y a presque 8 ans
Si. Mais perso ça me chagrine que des infos publiques ne soient pas accessibles en clair et nécessitent des tonnes de calculs pour être lisibles.
Mis à jour par Edouard Dausque il y a presque 8 ans
Dans ce cas enlever le formulaire de login et le remplacer par un lien ?
Mis à jour par Vincent-Xavier JUMEL il y a presque 8 ans
François Poulain a écrit :
Si. Mais perso ça me chagrine que des infos publiques ne soient pas accessibles en clair et nécessitent des tonnes de calculs pour être lisibles.
Sauf qu'on ne sait pas tellement gérer ça autrement pour l'instant. Et personnellement, ça ne me chagrine pas plus que ça, d'autant plus que ça authentifie la source.
Mis à jour par Quentin CHERGUI il y a presque 8 ans
Les temps de calcul pour TLS sont négligeables sur une machine moderne avec le trafic que l'on a.
Et si les cookies de sessions passent en clair ensuite, ça annule en partie l'intérêt de faire du TLS.
Ça ne bloque aucun visiteur de le faire sur la partie publique. Et ça complique la vie à quelqu'un qui veut voir exactement quelles pages un utilisateur a vu (bien que ce soit un risque assez négligeable sur le site de l'April).
Enfin ça préserve des saloperies style proxys transparents qui "optimisent" les pages dont les opérateurs mobiles sont (étaient ?) friands.
En l'état, j'ai du mal à voir quels avantages ça aurait de ne pas le faire.
Mis à jour par Benjamin Drieu il y a presque 7 ans
- Statut changé de Nouveau à Confirmé
- Assigné à mis à Benjamin Drieu
- Priorité changé de Normale à Élevée
- Version cible changé de Backlog à Février 2018
Mis à jour par Benjamin Drieu il y a presque 7 ans
- Duplique Demande #1752: Implémenter HTTP Strict Transport Security sur april.org ajouté