Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1846 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Question de n00b sur SSL

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Question de n00b sur SSL

n°143119
qldc
Posté le 08-11-2016 à 08:23:38  profilanswer
 

Bonjour, j'aurais une question qui est sans doute triviale pour des spécialistes mais à la quelle je ne suis pas parvenu seul à trouver la réponse : si une page http contient un lien vers une page de login https, dans quelle mesure la sécurité est-elle moins bonne que si les 2 pages sont https ?  
Le cas échéant quel type d'attaque ciblée/au chalut cela permet-il ?
 
(Contexte :  discussion avec des personnes très affirmatives et se disant connaisseuses au sujet du site sur le dossier médical partagé dont la page d'accueil http://www.dmp.gouv.fr n'est pas https)(pb de confidentialité de la consultation du site à part)
 
Merci par avance :)

mood
Publicité
Posté le 08-11-2016 à 08:23:38  profilanswer
 

n°143120
nex84
Dura lex, sed lex
Posté le 08-11-2016 à 09:20:25  profilanswer
 

Le HTTPS va créer une "session" SSL/TLS sécurisée pour son transfert vers le navigateur ainsi que ce qui en ressort.
 
En simplifiant ça va sécuriser le contenu de la page et les données envoyées par un formulaire par exemple.
 
Du coup la question de savoir si la sécurité est meilleure ou moins bonne dépend de ce qui est transféré et à quoi servent ces pages.
 
Sécuriser une page web qui affiche juste "bienvenue" c'est bien, mais ce n'est pas indispensable (pas de données confidentielles ou autre).
 
De plus, un admin pourra préférer cibler les pages à sécuriser pour économiser un pouillème en évitant les phases de sécurtisation pour des pages n'en valant pas la peine.
Même si ça peut parraitre anecdotique, je l'ai déjà vu dans des contextes où l'infra était sous dimensionnée et les gains perceptibles sur de gros volumes.


---------------
Come to the Dark Side, we have cookies.
n°143148
fred34
Posté le 08-11-2016 à 13:09:35  profilanswer
 

Comme le dit Nex84, tout dépend du contexte.
 
Le cas que tu cites (DMP) est un très bon exemple :  
 
Sur la page d'accueil (http://www.dmp.gouv.fr/) qui est une page purement informative, on est en HTTP et c'est très bien car il n'y a aucune donnée confidentielle qui transite entre l'internaute et le serveur.
 
Par contre, quand tu cliques sur le lien pour accéder au dossier en tant que patient (https://mondmp3.dmp.gouv.fr), tu es en HTTPS car ici vont transiter des infos confidentielles.
 
@+


---------------
http://leblogdundsi.lesprost.fr/
n°143150
fred34
Posté le 08-11-2016 à 13:18:45  profilanswer
 

Pour compléter mon commentaire, la tendance est aujourd'hui au tout HTTPS même sur les pages non sensibles.
 
Le principal avantage est de pouvoir authentifier le site comme étant le véritable site et non une fausse page utilisée pour du phishing par mail.
 
On reconnaît alors la véritable identité du site au fait que le cadenas est vert.  Ce propos est cependant à nuancer car tous les sites en https n'ont pas l'option de certification de l'identité (ça coûte cher) et tout le monde ne pense pas forcément à vérifier les infos du certificat.


---------------
http://leblogdundsi.lesprost.fr/
n°143153
ShonGail
En phase de calmitude ...
Posté le 08-11-2016 à 13:50:30  profilanswer
 

qldc a écrit :

Bonjour, j'aurais une question qui est sans doute triviale pour des spécialistes mais à la quelle je ne suis pas parvenu seul à trouver la réponse : si une page http contient un lien vers une page de login https, dans quelle mesure la sécurité est-elle moins bonne que si les 2 pages sont https ?  
Le cas échéant quel type d'attaque ciblée/au chalut cela permet-il ?
 
(Contexte :  discussion avec des personnes très affirmatives et se disant connaisseuses au sujet du site sur le dossier médical partagé dont la page d'accueil http://www.dmp.gouv.fr n'est pas https)(pb de confidentialité de la consultation du site à part)
 
Merci par avance :)


 
Le propos revient à dire qu'il suffit soi-même de créer une page en HTTP avec un lien vers une page d'authentification en HTTPS pour en diminuer la sécurité.
C'est aberrant.
 
Peu importe comment tu arrives sur la page en HTTPS. Une fois que tu y es le chiffrement SSL fonctionne de la même manière.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Question de n00b sur SSL

 

Sujets relatifs
VPN SSL : F5 ou Juniper (Pulse faut dire maintenant)NAS syno : question compatibilite HDD WD red & green / EZRZ = EZRX ?
Problème de certificat SSL auto-signé pour ferme RDS Windows 2012R2 (rForum hardware.fr et SSL
Upgrade hardware serveur, petite question processeur...Solution DLP et inspection SSL sans abonnement annuel?
Domain Control Validation certificat SSL pour AXIS F44Question aux spécialistes emailing et antispams
Plus de sujets relatifs à : Question de n00b sur SSL



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR