Project

General

Profile

Demande #1857

Cas du formulaire de login de la page http://www.april.org

Added by Vincent-Xavier JUMEL over 3 years ago. Updated over 2 years ago.

Status:
Fermé
Priority:
Élevée
Category:
-
Target version:
Start date:
02/08/2017
Due date:
% Done:

0%

Estimated time:
Difficulté:
2 Facile

Description

Visiblement https://agir.april.org/issues/1030#note-1 n'a pas été traité et c'est assez fâcheux en terme de sécurité. Maintenant qu'on a des vrais certificats est-ce qu'on ne pourrait pas tout simplement forcer le https:// sur april.org. C'est d'ailleurs ce que ne vont pas tarder à recommander FF et Chromium.


Related issues

Is duplicate of Admins - Demande #1752: Implémenter HTTP Strict Transport Security sur april.orgFermé06/16/2016

Actions

History

#1

Updated by François Poulain over 3 years ago

Voir https://agir.april.org/issues/1686

Solution: patcher drupal ou changer pour autre chose.

#2

Updated by Vincent-Xavier JUMEL over 3 years ago

Mais tout mettre en https ne résout pas le souci ?

#3

Updated by François Poulain over 3 years ago

Si. Mais perso ça me chagrine que des infos publiques ne soient pas accessibles en clair et nécessitent des tonnes de calculs pour être lisibles.

#4

Updated by Edouard Dausque over 3 years ago

Dans ce cas enlever le formulaire de login et le remplacer par un lien ?

#5

Updated by Vincent-Xavier JUMEL over 3 years ago

François Poulain a écrit :

Si. Mais perso ça me chagrine que des infos publiques ne soient pas accessibles en clair et nécessitent des tonnes de calculs pour être lisibles.

Sauf qu'on ne sait pas tellement gérer ça autrement pour l'instant. Et personnellement, ça ne me chagrine pas plus que ça, d'autant plus que ça authentifie la source.

#6

Updated by Quentin CHERGUI over 3 years ago

Les temps de calcul pour TLS sont négligeables sur une machine moderne avec le trafic que l'on a.

Et si les cookies de sessions passent en clair ensuite, ça annule en partie l'intérêt de faire du TLS.

Ça ne bloque aucun visiteur de le faire sur la partie publique. Et ça complique la vie à quelqu'un qui veut voir exactement quelles pages un utilisateur a vu (bien que ce soit un risque assez négligeable sur le site de l'April).

Enfin ça préserve des saloperies style proxys transparents qui "optimisent" les pages dont les opérateurs mobiles sont (étaient ?) friands.

En l'état, j'ai du mal à voir quels avantages ça aurait de ne pas le faire.

#7

Updated by Benjamin Drieu over 2 years ago

  • Status changed from Nouveau to Confirmé
  • Assignee set to Benjamin Drieu
  • Priority changed from Normale to Élevée
  • Target version changed from Backlog to Février 2018
#8

Updated by Benjamin Drieu over 2 years ago

  • Is duplicate of Demande #1752: Implémenter HTTP Strict Transport Security sur april.org added
#9

Updated by Benjamin Drieu over 2 years ago

  • Status changed from Confirmé to Résolu
#10

Updated by Quentin Gibeaux over 2 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF