Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2417 connectés 

  FORUM HardWare.fr
  Programmation
  Divers

  Http->Https, transmission sécurisée ou non ?

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Http->Https, transmission sécurisée ou non ?

n°1290942
kayno
Posté le 24-01-2006 à 15:15:42  profilanswer
 

BOnjour,
 
Voici la petite question technique :
 
Si je fait un formulaire à l'adresse : http://www.monsite.com/form.php, qui demande login et mot de passe transmis par méthode post.  
 
Ce formulaire appelle la page : https://www.monsite.com/login.php
 
Le login et mdp de la premiere page passent-ils en clair sur mon réseau ?
 
Merci bcp.

mood
Publicité
Posté le 24-01-2006 à 15:15:42  profilanswer
 

n°1290991
masklinn
í dag viðrar vel til loftárása
Posté le 24-01-2006 à 15:35:26  profilanswer
 

Oui, la connection HTTPS doit être négociée sur la première page, dans le cas que tu présentes les données (login & mdp) transiteront en clair et non par une connection HTTPS puisque la dite connection HTTPS n'existe pas au moment où le formulaire est envoyé au serveur [:pingouino]
voir plus bas


Message édité par masklinn le 24-01-2006 à 16:58:08

---------------
I mean, true, a cancer will probably destroy its host organism. But what about the cells whose mutations allow them to think outside the box by throwing away the limits imposed by overbearing genetic regulations? Isn't that a good thing?
n°1290996
omega2
Posté le 24-01-2006 à 15:37:16  profilanswer
 

Alors là, je me serais fait avoir comme un bleu si j'avais eu à faire ça avant de lire ta réponse.

Message cité 1 fois
Message édité par omega2 le 24-01-2006 à 15:37:35
n°1291001
kayno
Posté le 24-01-2006 à 15:40:21  profilanswer
 

Merci Masklinn, je vais pouvoir faire chier le webmaster de la banque :D

n°1291013
masklinn
í dag viðrar vel til loftárása
Posté le 24-01-2006 à 15:44:38  profilanswer
 

omega2 a écrit :

Alors là, je me serais fait avoir comme un bleu si j'avais eu à faire ça avant de lire ta réponse.


Ben ça me semble logique, le mot de passe et le login font partie des informations contenues dans la requête pour afficher la page login.php
 
Donc le flux va être un truc du genre
 
 
Après je suis pas sûr à 100%, mais pas loin. Le plus simple serait de lancer un packet sniffer (Ethereal, ou même simplement LiveHTTPRequest, ça doit suffir) et de regarder ce qui transite aux différentes phases du login
 
 
voir plus bas


Message édité par masklinn le 24-01-2006 à 16:58:57

---------------
I mean, true, a cancer will probably destroy its host organism. But what about the cells whose mutations allow them to think outside the box by throwing away the limits imposed by overbearing genetic regulations? Isn't that a good thing?
n°1291019
m3z
il faut toujours faire simple
Posté le 24-01-2006 à 15:49:03  profilanswer
 

Un petit bemol tout de même.
Il est possible de créer un script qui envoi les informations login/mot de passe en https alors que la page de connexion est en http.
Vérifie le code source de la page. Si tu trouve qq chose de la forme :
<form method="post" action="https:// ....
 
 
C'est que c'est crypté ! (heureuse nouvelle non ?)
A+

Message cité 1 fois
n°1291026
masklinn
í dag viðrar vel til loftárása
Posté le 24-01-2006 à 15:54:30  profilanswer
 

m3z a écrit :

Un petit bemol tout de même.
Il est possible de créer un script qui envoi les informations login/mot de passe en https alors que la page de connexion est en http.
Vérifie le code source de la page. Si tu trouve qq chose de la forme :
<form method="post" action="https:// ....
 
 
C'est que c'est crypté ! (heureuse nouvelle non ?)
A+


Je demande une preuve que ce genre de trucs fonctionne justement, file une page d'exemple qu'on en fasse la trace


---------------
I mean, true, a cancer will probably destroy its host organism. But what about the cells whose mutations allow them to think outside the box by throwing away the limits imposed by overbearing genetic regulations? Isn't that a good thing?
n°1291087
m3z
il faut toujours faire simple
Posté le 24-01-2006 à 16:21:54  profilanswer
 
n°1291169
masklinn
í dag viðrar vel til loftárása
Posté le 24-01-2006 à 17:01:18  profilanswer
 

m3z a écrit :

C'est ici  
http://www.rivesparis.banquepopula [...] /index.asp


Ok, après avoir passé 10mn à jouer avec Ethereal j'annonce que je me plantais et que tu as effectivement raison (comme quoi faut bel et bien toujours tester), toutes les communications avec le serveur vérifiant le numéro de compte et le MDP (wwws.prosodie.com) semblent bien passer par SSL, quand bien même la page d'origine n'est pas accédée via HTTPS :jap:


Message édité par masklinn le 24-01-2006 à 17:02:40

---------------
I mean, true, a cancer will probably destroy its host organism. But what about the cells whose mutations allow them to think outside the box by throwing away the limits imposed by overbearing genetic regulations? Isn't that a good thing?
n°1291180
m3z
il faut toujours faire simple
Posté le 24-01-2006 à 17:11:57  profilanswer
 

Heureusement pour les clients de la banque populaire ;-)

mood
Publicité
Posté le 24-01-2006 à 17:11:57  profilanswer
 

n°1291193
kayno
Posté le 24-01-2006 à 17:19:54  profilanswer
 

Haaaaaaa :)
 
Je me disais aussi ... ca aurait été assez grossier comme faille. Donc c'est bon, du moment qu'on appelle une page Https:// (via l'option action) les infos passent en crypté.
 
Merci m3z ;)
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  Divers

  Http->Https, transmission sécurisée ou non ?

 

Sujets relatifs
Transmission de flux video en C#L'authentification HTTP : comment ça marche exactement ?
[HTTP] Ensemble des paramètres envoyés de pages en pagesConnection sécurisée?
PROBLEME -> Bouton + Click + Popup et transmission de contenurécupérer le code source page Web https..(dhtml, javascript) avec vba?
Soap et https[RESOLU] Transmission de variable entre deux pages PHP ?
HTTP Digest: pb avec Internet Explorer[Servlets] Redirection HTTP
Plus de sujets relatifs à : Http->Https, transmission sécurisée ou non ?

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.042 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)