Page 1 sur 1

Url forum Mercotribe non sécurisé

MessagePublié: 01 AMvSam, 07 Aoû 2021 11:07:52 +000007Samedi 2009 041140
par argos
Salut,

Pourquoi est-ce que l'adresse du forum n'est pas protégé par un certificat de chiffrement TLS comme let's Encrypt (gratuit et qui permet d'avoir le https dans l'url et de protéger le fofo d'une attaque type MITM)?

https.png
https.png (26.71 Kio) Consulté 21680 fois

Re: Url forum Mercotribe non sécurisé

MessagePublié: 01 AMvSam, 07 Aoû 2021 11:25:45 +000025Samedi 2009 041140
par max551
Le forum n'est pas tout jeune et à l'époque c'était loin d'être systématique sur les site. apres en vrai les info qui circulent entre ton navigateur et le forum n'ont pas vraiment besoin d'être crypté puisque c'est publique.

Re: Url forum Mercotribe non sécurisé

MessagePublié: 01 PMvSam, 07 Aoû 2021 12:13:37 +000013Samedi 2009 041240
par Yool
max551 a écrit:Le forum n'est pas tout jeune et à l'époque c'était loin d'être systématique sur les site. apres en vrai les infos qui circulent entre ton navigateur et le forum n'ont pas vraiment besoin d'être crypté puisque c'est publique.

Chiffrées* :mrgreen:
Bah mettons que tu tombes en rade et que tu viens voir comment te démerder en allant au bar du coin qui propose un wifi public, tu te connectes au forum (même si c'est totomatique) bah y à ton mot de passe qui peu fuité et pour peu que ton combo pseudo/mot de passe soit similaire sur d'autre site (comme la plupart des gens) bah te voila avec tes autres compte non publique piraté :geek:

Et c'est assez simple à mettre en place une attaque de ce genre, sur smartphone y a Zanti qui le fait très facilement, sans connaissance particulière en cybersec par exemple

Re: Url forum Mercotribe non sécurisé

MessagePublié: 01 PMvSam, 07 Aoû 2021 12:32:11 +000032Samedi 2009 041240
par loiseleur
Ya pas vraiment de réponse à la question du pourquoi.
Je vais regarder du côté de let's encrypt. ;)

Re: Url forum Mercotribe non sécurisé

MessagePublié: 01 PMvSam, 07 Aoû 2021 12:56:41 +000056Samedi 2009 041240
par argos
max551 a écrit:apres en vrai les info qui circulent entre ton navigateur et le forum n'ont pas vraiment besoin d'être crypté puisque c'est publique.


Comme le souligne Yool, c'est pas tellement au niveau du chiffrement des échanges courant entre le serveur et ton navigateur mais celui de l'identifiant et mdp sur un point d'acces publique ou de rogue hotspot ;)

En ce qui me concerne je passe toutes mes connection par vpn...

Re: Url forum Mercotribe non sécurisé

MessagePublié: 01 PMvVen, 21 Juil 2023 19:42:14 +000042Vendredi 2009 040740
par Geronimo aka Dj-M
Sachez que je me suis fait piraté le mot de passe du forum, et comme j'utilisais ce mot de passe sur d'autre site, j'ai vite tout changé sauf celui du forum car c'est pas grave y a pas trop d'info bancaire ici :lol:

Re: Url forum Mercotribe non sécurisé

MessagePublié: 01 PMvSam, 22 Juil 2023 14:55:10 +000055Samedi 2009 040240
par loiseleur
Ouai je vais refaire un mail à l'hébergeur pour passer en https. :oops:

Re: Url forum Mercotribe non sécurisé

MessagePublié: 01 PMvSam, 22 Juil 2023 16:23:34 +000023Samedi 2009 040440
par Geronimo aka Dj-M
Ce ne sera pas du luxe car étant donné que le forum possède plein de formulaires de saisi, il est facile pour les masturbateurs de clavier de piraté des sites comme celui si, je le sais car mon ancien site perso, possédé des formulaires de saisi, et j'ai tout perdu mais il faut dire qu'à l'époque j'avais un serveur free gratuit donc niveau sécurité c'est pas le top. Maintenant j'ai un serveur ovh et aucune page de saisi, je fait tout par logiciel ou directement sur l'interface ovh.

Re: Url forum Mercotribe non sécurisé

MessagePublié: 01 PMvMar, 25 Juil 2023 19:11:06 +000011Mardi 2009 040740
par max551
Yool a écrit:
max551 a écrit:Chiffrées* :mrgreen:

Geek spoted

Re: Url forum Mercotribe non sécurisé

MessagePublié: 01 PMvMar, 25 Juil 2023 19:22:48 +000022Mardi 2009 040740
par max551
Geronimo aka Dj-M a écrit:Ce ne sera pas du luxe car étant donné que le forum possède plein de formulaires de saisi, il est facile pour les masturbateurs de clavier de piraté des sites comme celui si, je le sais car mon ancien site perso, possédé des formulaires de saisi, et j'ai tout perdu mais il faut dire qu'à l'époque j'avais un serveur free gratuit donc niveau sécurité c'est pas le top. Maintenant j'ai un serveur ovh et aucune page de saisi, je fait tout par logiciel ou directement sur l'interface ovh.


Le problème que tu indiques est différent du chiffrement des échanges du site. il s'agit ici d'une faille d'injection (sql souvent) qui permet de faire passer des commandes dans les champs de saisi. La plupart du temps ce genre de faille n'existe pas sur des sites comme un moteur de forum fourni par un editeur. Si elles existent elles sont souvent patchée.
Il existent d'autre faille liée plutot au librairie utilisée par le site (genre php) encore une fois elles sont patchée par l'editeur au fur et à mesure qu'elles sont divulguées.
Le gros problème c'est qu'une fois découverte les failles et leurs exploit est disponible publiquement. Si le site n'est pas mise a jour elles sont facilement exploitable via des scripts automatiques qui vont se charger de trouver le site de trouver les failles et de les exploiter.
La plupart du temps le bu et d'extraire la liste des utilisateurs et leur mot de passe afin de voir si a tout hasard ils n'utilisent pas le meme mot de passe sur d'autre site (genre gmail) ou d'utiliser les infos pour faire du hameçonnage.

le https pour résumer simplement il s'agit d'un système de cadenas et de clé. le site fournis un cadenas à tout le monde dont lui seul à la cle. nous envoyons un code secret qui est mis dans une boite que l'on ferme avec le cadenas. le site ouvre la boite avec sa clé et regarde le code. tout les échange suivant se feront avec des boites à code qui s'ouvre avec ce code . sans ca chaque echange est lisible par tout le monde y compris le login/mot de passe du formulaire de login :mrgreen:

Re: Url forum Mercotribe non sécurisé

MessagePublié: 01 PMvMar, 25 Juil 2023 21:17:55 +000017Mardi 2009 040940
par Geronimo aka Dj-M
max551 a écrit:
Le problème que tu indiques est différent du chiffrement des échanges du site. [...]

:mrgreen:


;) oui

T'es plus caler que moi :mrgreen: j'ai laché l'affaire avec le codage vers les années 2005 quand les script, java et compagnie sont arrivé en masse .... je suis resté bloqué ou Woueb 1.0 avec des sites où la seul dynamique était les gif en abondance :lol:

Re: Url forum Mercotribe non sécurisé

MessagePublié: 01 AMvLun, 31 Juil 2023 04:38:30 +000038Lundi 2009 040440
par jim
c'est cela oui :roll: :mrgreen: