#1 05.06.2018 23:27:47

latom
Membre
29.11.2015
1

[https] sécurité pour les lombriks

Salut,

Je trouve ça "dommage" que lelombrik.net ne soit accessible qu'en http imple ( j'entends par là: sans s )

Avant c'était payant (et cher), mais maintenant avec letsencrypt c'est ultra rapide d'ajouter un certificat et de sécuriser les connexions à un site. C'est pas tant pour les trucs hyper confidentiels que s'envoie les membres entre eux, mais surtout parce que beaucoup de gens ( même moi si si jvous jure ) on tendance à réutiliser les même mots de passe pour plusieurs sites, et que du coup ça peut devenir un peu plus emmerdant de se le faire piquer.

Et vu que le site est uniquement accessible en HTTP donc sans chiffrement des données, certaines personnes pourraient (théoriquement) chopper tout ce qui va de vos navigateurs vers le site, donc surtout vos mots de passe.

Peut être que ça vaudrait le coup de faire une petite mise à jour ... ?

Hors ligne

#2 28.10.2018 16:18:11

Kahakun
Membre
25.06.2017
1

[https] sécurité pour les lombriks

Tient, je suis venus sur le forum pour voir si le sujet avais été abordé.

Et je suis curieux de voir qu'un sujet aussi sensible que la sécurité des informations des utilisateurs soit pris relativement à la légère sur LLB.

Quelqu'un a une réponse à apporter sur le pourquoi du comment? Merci

Hors ligne

#3 07.11.2018 10:25:25

Alix
LeLoMBriK
30.03.2005
10,000,065

[https] sécurité pour les lombriks

Kahakun a écrit

Tient, je suis venus sur le forum pour voir si le sujet avais été abordé.

Et je suis curieux de voir qu'un sujet aussi sensible que la sécurité des informations des utilisateurs soit pris relativement à la légère sur LLB.

Quelqu'un a une réponse à apporter sur le pourquoi du comment? Merci

Hello,

C'est principalement un manque de ressource. La V2 est une sur-couche de la V1, développé en 2005. C'est la galère royale pour toucher quoi que ça soit, malheureusement.

Après, j'avoue que le https, je dois pouvoir faire tourner ça rapidement. J'ajoute ça à ma liste.

Sinon, je ne prends pas ça à la légère, par exemple, j'ai audité il y a peu la messagerie (en bas à droite) et j'ai vu qu'il y avait une faille de sécurité dedans. Je l'ai donc désactivé pour éviter des fuites. Bon par contre, j'ai pu le code source du chat pour patcher, du coup c'est coupé. (Tenev, rend le code).

Vos mots de passe ont toujours été hashé en base de données et ça depuis la première version du site.
Le serveur est maintenu à jour.

Mais il doit bien y avoir quelques trous, surtout sur ce forum.


kthxbye
Facebook / Twitter

Hors ligne

Pied de page du Forum