samedi 26 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

> Parcourir les entrées

> Proposer une entrée

[Administration] Autoriser les logins

Soumis par Éric (Jabber id, page perso, ) le 03 novembre 2005. Fermé par Benoît Sibaud (Jabber id, page perso, ) le 03 novembre 2005. 0 vote(s). Voter pour cette tâche
Même si je m'identifie par HTTPS, je suis souvent des liens vers des dépêches précédentes, des journaux ou des commentaires ... qui sont fait pour utiliser HTTP et non HTTPS. A chaque fois mon identifiant de session (qui garantie l'authentification) passe en clair sur le réseau. Ce que je visite sur DLFP aussi. Souvent je ne le remarque pas et c'est toute ma navigation à partir de ce moment là qui passe en non sécurisé. La proposition : 1- Quand quelqu'un s'identifie via https, le cookie qui est envoyé doit être envoyé pour qu'il ne soit utilisé que sur une connexion sécurisé (il y a un paramètre pour ça). Si la personne passe sur non sécurisé par la suite, son identifiant ne sera pas révélé. => aucune divulgation de l'identifiant de session 2- Quand quelqu'un s'identifie via https, un cookie spécifique "je veux du https" est envoyé. Si quelqu'un arrive sur une page par http et que ce cookie est présent, il doit être automatiquement redirigé vers la version en https. => la navigation ne continue jamais par erreur en non sécurisé, le 1 assure que l'identification n'a pas été prise en compte donc les statuts lus / non-lu ne sont pas impactés. 3- Lorsqu'une URL en http(s)://(www.)linuxfr.org/xxxx est saisie dans les éditions de news/journal/commentaire/forum, elle est automatiquement convertie en URL absolue (/xxxx, sans le domaine ni le protocole). Cette conversion ne concerne que les saisies et pas l'affichage, elle ne gêne pas le système de cache et ne devrait pas entrainer de traitements importants (juste un rechercher/remplacer de réduction très importante des erreurs de "je fais une requête http alors que j'étais en https parce que je suis un lien" Tout n'est pas parfait mais ces trois actions ne sont pas excessivement complexes à mener et corrigent la plupart des cas de "sortie du cercle sécurisé". Il ne reste qu'un problème : quand on suit un lien non sécurisé à partir d'un site externe. Ceci dit le cas est limité, et les étapes 1 & 2 assurent qu'on sera redirigé vers https sans divulgation de l'authentification.

> Lire l'entrée (1 commentaire, moyenne: 2).  

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Déjà demandé

Posté par Pascal Terjan (Jabber id, page perso, ) le 03/11/2005 à 10:51. (lien). Évalué à 2.

Voir https://linuxfr.org/tracker/75.html

[ Répondre ]

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.042s (dont 0.0042 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.