Journal sncf.com, un site sécurisé... ou pas

Posté par  .
Étiquettes : aucune
-2
14
nov.
2009
Un problème de sécurité sur http://www.12-25-sncf.com ?
Des pages parlant de la sécu comme "en savoir plus" sont bien en HTTPS.
https://www.programmefid.com/static/crmco/card/fr/pp_detailS(...)
Par contre, des pages sur lesquelles on retrouve des formulaires contenant des informations confidentielles sont en HTTP (adresse, mail...).
http://www.12-25-sncf.com/carte/commande/achatcarte.aspx?s=t(...)
Selon un participant au forum, lors du renouvellement de sa carte, aucune page n'était en HTTPS (même lorsque ses coordonnées bancaires étaient demandées !). Malheureusement, il n'est pas possible de poster un lien vers le formulaire de paiement.

Source:
http://www.zataz.com/forum/index.php?showtopic=11099
  • # CB not found

    Posté par  . Évalué à 0.

    Sauf erreur de ma part, mais aucune coordonnées bancaires n'est demandées sur la page indiquée.
    • [^] # Re: CB not found

      Posté par  . Évalué à 2.

      C'est écrit dans le journal est sur le forum. Pas possible de poster un lien vers le formulaire qui demande les coordonnés. Mais bon... rien que le lien donné, c'est pas génial pour le respect de la vie privée.
      • [^] # Re: CB not found

        Posté par  . Évalué à -1.

        En même temps, la page en https est aussi accessible, certes, ce n'est pas une excuse...
      • [^] # Re: CB not found

        Posté par  . Évalué à 1.

        > (même lorsque ses coordonnées bancaires étaient demandées !).

        Sauf erreur de ma part, mais à aucun moment tu ne précises qu'il ne demande pas de coordonnées bancaires.
        Ou alors la demande de CB est après la validation du premier formulaire.
  • # Et l'attribut "action" du formulaire ?

    Posté par  (site Web personnel) . Évalué à 3.

    Car si il pointe vers du https, tout ce qui sera envoyé le sera alors crypté avec SSL. Que la page contenante ne soit pas https n'est pas grave en soit (par contre pour l'information utilisateur c'est vraiment puant je l'accorde)
  • # Pareil sur voyages-sncf.com

    Posté par  (site Web personnel) . Évalué à 3.

    Il y a environ un mois, je voulais m'authentifier sur voyages-sncf.com en HTTPS. J'étais sur https://espace-client.voyages-sncf.com/, mais les données étaient envoyées en HTTP (et non pas HTTPS). Maintenant, il me semble que j'avais manuellement remplacé http:// par https:// dans la barre d'adresse. Peut-être que c'était une erreur de ma part, mais ça m'avait choqué.

    Chaque fois que je vais sur ce site, je me prend la tête (soit il est en panne, soit il y a un soucis avec mon navigateur web).
  • # linuxfr.org pas saicure

    Posté par  (site Web personnel) . Évalué à 1.

    En même temps, bien que ça soit indiqué : l'authentification linuxfr se fait en HTTP (si on surfe en HTTP).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.