octobre 2017 - https obligatoire sous chrome (suite)

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [News] octobre 2017 - https obligatoire sous chrome (suite)

    Bonjour,

    La prochaine version de chrome qui sera publiée en octobre va comporter une alerte supplémentaire pour les sites non sécurisés (en plus de la notification présente depuis sept 2016 : https://forum.joomla.fr/showthread.php?217801 ).

    Lors de la saisie de mot de passe ou de données dans un formulaire, Chrome pourra avertir l'utilisateur que ces données ne sont pas cryptées. Ce n'est pas encore bloquant mais cela attire suffisamment l'attention des visiteurs pour les décourager à saisir des données sur des sites non sécurisés.





    Cette étape n'est certainement pas la dernière au vu des obligations qui seront imposées à partir du 25 mai 2018 au niveau européen.
    Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

  • #2
    Re : octobre 2017 - https obligatoire sous chrome (suite)

    Firefox le fait déjà ...
    Didier L
    Le webmaster de quelques sites associatifs développés sur Joomla !

    Commentaire


    • #3
      Re : octobre 2017 - https obligatoire sous chrome (suite)

      Envoyé par didier l Voir le message
      Firefox le fait déjà ...
      oui Firefox a suivi le mouvement. A travers Chrome, on devine aisément l'exigence de Google. Cette volonté n'est pas nouvelle car elle fut annoncée lors de la conférence I/O de 2014 "HTTPS everywhere" : https://googlewebmastercentral.blogs...ng-signal.html

      Pour l'instant, cela s'affiche uniquement en présence de champ de saisie (input) mais le marquage "non sécurisé" sera généralisé d'ici 2018 au site qui ne seront pas en https (peu importe la présence de formulaire ou non). Les retardataires ont même reçu un e-mail de rappel.

      Bref, on est prévenu !
      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

      Commentaire


      • #4
        Re : octobre 2017 - https obligatoire sous chrome (suite)

        Je voudrais être sûr de tout comprendre ...

        Le fait d'inciter les webmasters à utiliser le protocole https pour la saisie de données - l'administration du site ou sur la partie publique la saisie d'un login - me semble une bonne idée, d'autant plus que maintenant les hébergeurs proposent souvent dans leur package un certificat http s gratuit (avec un nveau de sécurité suffisant pour les usages ordinaires).Et Joomla permet de le faire.

        Par contre, Daneel laisserait entendre que cette approche serait généralisée à l'ensemble du site : je ne vois guère d'intérêt pour un site avec des données publiques de crypter ses données, j'y vois même des inconvénients :
        - le protocole https alourdit les échanges : plus de données à transmettre, plus de traitement sur les ordinateurs ... et plus d'énergie et de CO2 ...
        - impossibilité pour certains outils de filtrer les données ... Filtrage peut vouloir dire parfois censure mais il sert aussi à la protection. Par exemple, certaines requêtes http malveillantes contiennent du code pour attaquer le votre micro : cela est facilement identifiable quand c'est en clair ; par contre, en https, c'est crypté et on voir rien, et il faut un bon navigateur (comme chrome ???) pour se protéger.

        Voyez-vous d'autres limites ?

        Avec Joomla, nous défendons les valeurs de l'OpenSource : transparence, ouverture ... Alors que d'autres, au nom de la sécurité ou de la performance, s'enferment en croyant défendre leurs privilège. Vous pouvez consulter les infos sur les évolutions faites par Google sur le langage html pour faire fonctionner ses outils, démarche imposée aux navigateurs concurrents et très loin de l'approche actuelle de normalisation des langages.
        Didier L
        Le webmaster de quelques sites associatifs développés sur Joomla !

        Commentaire


        • #5
          Re : octobre 2017 - https obligatoire sous chrome (suite)

          Une petite remarque si vous voulez passer votre site Joomla ou la partie administration du site en https : vous pouvez avoir de mauvaises surprises avec de vieilles extensions qui contiennent des liens vers le site de l'éditeur, souvent en commentaires ... Ces liens ne sont pas toujours en http s et certains navigateurs y voient une faille de sécurité potentielle (même si c'est du commentaire) et il faut alors nettoyer un peu le code ...
          Didier L
          Le webmaster de quelques sites associatifs développés sur Joomla !

          Commentaire


          • #6
            Re : octobre 2017 - https obligatoire sous chrome (suite)

            Hello Didier, c'est une bonne question

            Je te réponds par confidentialité, intégrité et authentification...

            Avec la recrudescence des piratages, le https est indispensable. Le déploiement des certificats gratuits est réalisé automatiquement sur la plupart des hebergements mutualisés et ce n'est pas très difficile sur les dédiés, vps (même les panels de serveur intègrent les certificats gratuits de let's encrypt).

            Mais je comprends tes arguments.

            1. On pourra choisir un hébergement écologique (Serveur à faible consommation electrique par exemple), payer une contribution « amélioration environnementale » .
            WattValue, société de services à l'énergie, vous accompagne de l'achat groupé d'énergie jusqu'à l'optimisation de vos contrats.

            Suite à l'article "5 règles pour un site web plus respectueux de l'environnement", nous vous proposons d'approfondir la question de l'hébergeur. En plus de 6 critères pour vous guider dans votre choix, vous trouverez dans cet article un annuaire des hébergeurs qui se disent "vert".


            2. En fait, les navigateurs doivent aller sur la protections des données. A l'échelle de l'europe, il y a un engagement qui se dessine en 2018 pour changer les mentalités. Quand tu comprends que ton e-mail et mot de passe se retrouvent dans la liste de 230 sites piratés, ça fait froid dans le dos.. : https://haveibeenpwned.com/

            3. Tu évoque des outils de filtres ? En fait, il s'agit surtout de protéger l'échange d'information avec le site.
            Cela ne va pas empêcher le rôle des firewalls, des bloqueurs de publicité.

            Et justement l'adblocks selectif s'integrera nativement début 2018 (l'utilisateur pourra aussi supprimer totalement la pub d'un site moyennant une contribution : https://contributor.google.com/v/marketing ) mais au risque de décevoir les éditeurs, on pourra toujours disposer d'ad-blocks comme ublock voir d'adblocks perceptifs (innovation intégrant une reconnaissance intelligente des pubs) : https://chrome.google.com/webstore/d...dplhnchp?hl=fr

            Coté Firefox, il faut savoir que les anciens modules de FF ne seront plus exploitables en novembre 2017 ! Il faudra espérer que les extensions comme bloqueurs de pub seront adaptés pour les nouvelles versions de firefox ! https://www.youtube.com/watch?v=Q_cgksT6_Cg

            4. Oui on défends les valeurs de l'open source mais cela n'empèche pas les prises de conscience : La sécurité est une affaire également de responsabilité... D'après ce que je peux analyser, le https est certainement l'une des contraintes les moins perceptibles des changements qui auront lieu en 2017/2018.

            Exemple : en mai 2018, théoriquement si tu as un site e-commerce sous joomla, il faudra que les extensions comme virtuemart ou hikashop s'adapte aux nouvelles règles européennes comme la pseudonymisation et le chiffrement des données à caractère personnel. En cas de piratage, prévenir la cnil dans les 72h, les clients également. Avoir les moyens de rétablir rapidement, des procédures de tests et contrôles. Sans oublier le reglement ePrivacy : https://www.guideecommerce.com/epriv...-commerce.html

            Tu as raison de souligner le problème des liens externes en http! L'occasion de rappeler également la faille de sécurité sur target="_blank" corrigé dans l'éditeur de joomla (tiny_mce) mais pas forcément dans les extensions : https://forum.joomla.fr/showthread.php?221267

            En résumé, il n'y a pas trop à craindre pour les petits sites mais pour les pro, il faut se mettre à la place des clients... Il ne faut pas croire que les GAFA seront ignorés au contraire... le pouvoir des organismes comme la CNIL a été relevé à la hausse (amende et prélevement sur le chiffre d'affaire). Et ce n'est que le début.
            Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

            Commentaire


            • #7
              Re : octobre 2017 - https obligatoire sous chrome (suite)

              Bonsoir,

              Je suis d'accord qu'il faille renforcer la sécurité et notamment sur les sites de commerce (personnellement mon entreprise gagne beaucoup d'argent en vendant des solutions de sécurité ).

              Par contre, je m'interroge sur les impacts pour les petits sites et l'utilisateur final :

              - Pour le site de l'association sportive du coin, il faut un minimum de sécurité pour la partie administration mais si l'association se contente de publier des données puubliques (présentation du club, manifestions, résultats ...), je ne vois pas d'avantage à mettre du https. Par contre, cela fait plus de 10 ans que j'utilise Joomla et les choses me semblent de plus en plus compliquées, Cela signifie qu'avant, un amateur un peu technicien pouvait faire un petit site et que maintenant, c'est plus difficile et qu'il faudra à chaque fois faire appel à un professionnel ?

              - Si nous laissons Google, ou d'autres, guider nos choix, sous pretexte d'améliorer nos outils, je ne suis pas sûr de la neutralité de ces acteurs et je vois surtout une menace : supprimer toutes les solutions alternatives (souvent définies dans une approche plus ouverte) et je serai ainsi contraint d'utilier le navigateur de Google - chrome - Adieu liberté chérie, Google pourra pomper en toute liberté toutes mes données personnelles ...

              Vous me prenez pour un parano ? Regardez les difficultés que rencontre Firefox pour se maintenir à flot face au déferlement de nouvelles atuces poussées par les outils Google. Si Firedfox disparait, que nous restera t'il comme alternative à Chrome ? Peut-être un jour le navigateur de Microsoft, mais est-ce mieux ?

              Que nous reste t'il pour nous protéger ? La CNIL ? Mais a t'elle les moyens de nous protéger ? La communauté européenne arrive t'elle à faire plier les GAFA ? Les résultats des procès en cours me laissent sceptiques.

              Il faut rester vigilant, et ne pas se laisser entrainer par les sirènes de certaines sociétés du GAFA qui ne veulent pas que notre bien.
              Didier L
              Le webmaster de quelques sites associatifs développés sur Joomla !

              Commentaire

              Annonce

              Réduire
              Aucune annonce pour le moment.

              Partenaire de l'association

              Réduire

              Hébergeur Web PlanetHoster
              Travaille ...
              X