Re : octobre 2017 - https obligatoire sous chrome (suite)

Firefox le fait déjà ...

Re : octobre 2017 - https obligatoire sous chrome (suite)

oui Firefox a suivi le mouvement. A travers Chrome, on devine aisément l'exigence de Google. Cette volonté n'est pas nouvelle car elle fut annoncée lors de la conférence I/O de 2014 "HTTPS everywhere" : https://googlewebmastercentral.blogs...ng-signal.html

Pour l'instant, cela s'affiche uniquement en présence de champ de saisie (input) mais le marquage "non sécurisé" sera généralisé d'ici 2018 au site qui ne seront pas en https (peu importe la présence de formulaire ou non). Les retardataires ont même reçu un e-mail de rappel.

Bref, on est prévenu !

Re : octobre 2017 - https obligatoire sous chrome (suite)

Je voudrais être sûr de tout comprendre ...

Le fait d'inciter les webmasters à utiliser le protocole https pour la saisie de données - l'administration du site ou sur la partie publique la saisie d'un login - me semble une bonne idée, d'autant plus que maintenant les hébergeurs proposent souvent dans leur package un certificat http s gratuit (avec un nveau de sécurité suffisant pour les usages ordinaires).Et Joomla permet de le faire.

Par contre, Daneel laisserait entendre que cette approche serait généralisée à l'ensemble du site : je ne vois guère d'intérêt pour un site avec des données publiques de crypter ses données, j'y vois même des inconvénients :
- le protocole https alourdit les échanges : plus de données à transmettre, plus de traitement sur les ordinateurs ... et plus d'énergie et de CO2 ...
- impossibilité pour certains outils de filtrer les données ... Filtrage peut vouloir dire parfois censure mais il sert aussi à la protection. Par exemple, certaines requêtes http malveillantes contiennent du code pour attaquer le votre micro : cela est facilement identifiable quand c'est en clair ; par contre, en https, c'est crypté et on voir rien, et il faut un bon navigateur (comme chrome ???) pour se protéger.

Voyez-vous d'autres limites ?

Avec Joomla, nous défendons les valeurs de l'OpenSource : transparence, ouverture ... Alors que d'autres, au nom de la sécurité ou de la performance, s'enferment en croyant défendre leurs privilège. Vous pouvez consulter les infos sur les évolutions faites par Google sur le langage html pour faire fonctionner ses outils, démarche imposée aux navigateurs concurrents et très loin de l'approche actuelle de normalisation des langages.

Re : octobre 2017 - https obligatoire sous chrome (suite)

Une petite remarque si vous voulez passer votre site Joomla ou la partie administration du site en https : vous pouvez avoir de mauvaises surprises avec de vieilles extensions qui contiennent des liens vers le site de l'éditeur, souvent en commentaires ... Ces liens ne sont pas toujours en http s et certains navigateurs y voient une faille de sécurité potentielle (même si c'est du commentaire) et il faut alors nettoyer un peu le code ...

Re : octobre 2017 - https obligatoire sous chrome (suite)

Hello Didier, c'est une bonne question

Je te réponds par confidentialité, intégrité et authentification...

Avec la recrudescence des piratages, le https est indispensable. Le déploiement des certificats gratuits est réalisé automatiquement sur la plupart des hebergements mutualisés et ce n'est pas très difficile sur les dédiés, vps (même les panels de serveur intègrent les certificats gratuits de let's encrypt).

Mais je comprends tes arguments.

1. On pourra choisir un hébergement écologique (Serveur à faible consommation electrique par exemple), payer une contribution « amélioration environnementale » .



2. En fait, les navigateurs doivent aller sur la protections des données. A l'échelle de l'europe, il y a un engagement qui se dessine en 2018 pour changer les mentalités. Quand tu comprends que ton e-mail et mot de passe se retrouvent dans la liste de 230 sites piratés, ça fait froid dans le dos.. : https://haveibeenpwned.com/

3. Tu évoque des outils de filtres ? En fait, il s'agit surtout de protéger l'échange d'information avec le site.
Cela ne va pas empêcher le rôle des firewalls, des bloqueurs de publicité.

Et justement l'adblocks selectif s'integrera nativement début 2018 (l'utilisateur pourra aussi supprimer totalement la pub d'un site moyennant une contribution : https://contributor.google.com/v/marketing ) mais au risque de décevoir les éditeurs, on pourra toujours disposer d'ad-blocks comme ublock voir d'adblocks perceptifs (innovation intégrant une reconnaissance intelligente des pubs) : https://chrome.google.com/webstore/d...dplhnchp?hl=fr

Coté Firefox, il faut savoir que les anciens modules de FF ne seront plus exploitables en novembre 2017 ! Il faudra espérer que les extensions comme bloqueurs de pub seront adaptés pour les nouvelles versions de firefox ! https://www.youtube.com/watch?v=Q_cgksT6_Cg

4. Oui on défends les valeurs de l'open source mais cela n'empèche pas les prises de conscience : La sécurité est une affaire également de responsabilité... D'après ce que je peux analyser, le https est certainement l'une des contraintes les moins perceptibles des changements qui auront lieu en 2017/2018.

Exemple : en mai 2018, théoriquement si tu as un site e-commerce sous joomla, il faudra que les extensions comme virtuemart ou hikashop s'adapte aux nouvelles règles européennes comme la pseudonymisation et le chiffrement des données à caractère personnel. En cas de piratage, prévenir la cnil dans les 72h, les clients également. Avoir les moyens de rétablir rapidement, des procédures de tests et contrôles. Sans oublier le reglement ePrivacy : https://www.guideecommerce.com/epriv...-commerce.html

Tu as raison de souligner le problème des liens externes en http! L'occasion de rappeler également la faille de sécurité sur target="_blank" corrigé dans l'éditeur de joomla (tiny_mce) mais pas forcément dans les extensions : https://forum.joomla.fr/showthread.php?221267

En résumé, il n'y a pas trop à craindre pour les petits sites mais pour les pro, il faut se mettre à la place des clients... Il ne faut pas croire que les GAFA seront ignorés au contraire... le pouvoir des organismes comme la CNIL a été relevé à la hausse (amende et prélevement sur le chiffre d'affaire). Et ce n'est que le début.

Re : octobre 2017 - https obligatoire sous chrome (suite)

Bonsoir,

Je suis d'accord qu'il faille renforcer la sécurité et notamment sur les sites de commerce (personnellement mon entreprise gagne beaucoup d'argent en vendant des solutions de sécurité ).

Par contre, je m'interroge sur les impacts pour les petits sites et l'utilisateur final :

- Pour le site de l'association sportive du coin, il faut un minimum de sécurité pour la partie administration mais si l'association se contente de publier des données puubliques (présentation du club, manifestions, résultats ...), je ne vois pas d'avantage à mettre du https. Par contre, cela fait plus de 10 ans que j'utilise Joomla et les choses me semblent de plus en plus compliquées, Cela signifie qu'avant, un amateur un peu technicien pouvait faire un petit site et que maintenant, c'est plus difficile et qu'il faudra à chaque fois faire appel à un professionnel ?

- Si nous laissons Google, ou d'autres, guider nos choix, sous pretexte d'améliorer nos outils, je ne suis pas sûr de la neutralité de ces acteurs et je vois surtout une menace : supprimer toutes les solutions alternatives (souvent définies dans une approche plus ouverte) et je serai ainsi contraint d'utilier le navigateur de Google - chrome - Adieu liberté chérie, Google pourra pomper en toute liberté toutes mes données personnelles ...

Vous me prenez pour un parano ? Regardez les difficultés que rencontre Firefox pour se maintenir à flot face au déferlement de nouvelles atuces poussées par les outils Google. Si Firedfox disparait, que nous restera t'il comme alternative à Chrome ? Peut-être un jour le navigateur de Microsoft, mais est-ce mieux ?

Que nous reste t'il pour nous protéger ? La CNIL ? Mais a t'elle les moyens de nous protéger ? La communauté européenne arrive t'elle à faire plier les GAFA ? Les résultats des procès en cours me laissent sceptiques.

Il faut rester vigilant, et ne pas se laisser entrainer par les sirènes de certaines sociétés du GAFA qui ne veulent pas que notre bien.