Like really ? No HTTPS ? Not even for login ? ►http://seenthis.net #security #fail
Like really ? No HTTPS ? Not even for login ? ►http://seenthis.net #security #fail
It’s being migrated to another hosting, with https, work in progress, not too too long
Le login est géré par SPIP, qui propose lui-même un système de sécurisation sans nécessiter https. Si c’est troué, alors tous les sites sous SPIP sont troués juste parce que le login à l’espace de gestion n’est pas sous https depuis plus de 15 ans (un peu moins, je ne me souviens plus quand @fil a mis en place le système de jetons).
C’est quand même différent, même s’il y a le système côté SPIP, c’est forcément mieux si l’échange entre le navigateur et le serveur est chiffré, pas en clair (pour quelqu’un qui serait entre les deux).
Il y a toujours mieux, mais l’idée est qu’en l’état actuel (et ce n’est vraiment pas ma spécialité), il ne suffit pas de se mettre entre les deux pour pirater un compte SPIP.
Sinon, on peut aussi toujours fantasmer sur la sécurité et donner des leçons, mais Seenthis est un minuscule réseau géré à la main où l’on se connaît. Si tu te faisais pirater ton accès (pour l’instant ce n’est arrivé à personne), il y a un copain humain qui pourra intervenir rapidement.
Mais encore une fois venir faire la leçon avec un « no https = fail » sans même proposer de se sortir les doigts du cul pour aider, sur un réseau qui existe depuis 2009 et dont pour l’instant aucun compte n’a été piraté (je ne dis pas que ça ne peut pas arriver, mais pour l’heure ce n’est pas le cas), ça me fait chier.
Oui je comprends tout à fait. Moi je répondais juste pour dire qu’il y a justement quelques gens qui se sortent les doigts du cul et qui sont en train de mitonner un hébergement de qualité, qui comprendra https en plus. :)
En fait si, il suffit de voler le cookie pour pirater le compte le temps de la session. Ça ne donne pas le mot de passe (qui ne transite jamais en clair sauf lors de la saisie dans la fiche auteur de l’espace privé).
En cas de vol de cookie l’une des deux sessions est déconnectée (le voleur ou l’autre), ce qui peut mettre la puce à l’oreille (ceci n’étant valable que dans l’espace privé, ne concerne pas seenthis).
Pour voler un cookie deux solutions classiques : 1) lire les échanges (ce que permet http et que https va permettre d’éliminer) ; 2) pirater le navigateur pour qu’il envoie le cookie ailleurs (ce que permettent les trous qui autorisent des injections de js).
@beli creates an account just to say that? Whistleblower or troll?
No, you see, I created an account to check out a promising service, but this issue is a showstopper, sorry.
I don’t see it as an abstract service. It’s first a network of humans who talk together and who participate to improve the system that allows them to do that. With a free software behind.
If you are just a service consumer, maybe it’s not really made for you… No worries, there’s other… “services” for your needs.
@beli, HTTPS here in few hours, no later than tomorrow. :)