Envoyé par douardda
Bonjour Mathieu, Dominique et Olivier,
merci d'avoir pris le temps de répondre, et je suis désolé si j'ai froissé quelqu'un.
Certes, je n'ai pas pour l'heure beaucoup contribué à ce site (j'avais un compte avant qui a été supprimé, donc je m'en suis recréé un récemment), essentiellement parceque je suis novice (et amateur) en matière de soudure, et de ce fait, plutôt consommateur que producteur de contenu d'un tel site/forum.
Maintenant, mon métier est justement l'informatique (libre), et si je peux rapidement apporter quelque chose à ce site, qui reste une mine d'informations avec des gens très compétents et dévoués pour l'animer, c'est justement en pointant de tels problèmes.
Si cela a été pris pour une simple plainte, j'en suis désolé,c'est que je n'ai pas expliqué suffisamment mon propos.
Peu de forums non liés à des problématiques informatiques se préoccupent en effet des problèmes de sécurité et de confidentialité (des utilisateurs). Ça ne veut pas dire qu'ils ont raison et qu'il faut laisser les choses en l'état. Et ça n'a rien à voir avec le fait d'être un service non critique (comme un service bancaire) ou non. Pendant longtemps, le port de la ceinture, en voiture, était considéré par beaucoup comme une nuisance sans grand intérêt. C'est pas pour ça qu'ils avaient raison.
Il ne s'agit de pas de protéger le site, mais les utilisateurs du site.
Je rappelle que ces protocoles sont mis en place pour garantir :
- l'authentification du serveur ;
- la confidentialité des données échangées ;
- l'intégrité des données échangées ;
Il s'agit bien de protéger les 2 parties, mais en particulier l'utilisateur du site. En HTTP simple, rien ne me garanti que je me connecte au vrai site soudeurs.com (et donc que je donne mes identifiants de connection au bon site, et donc que les fichiers éventuellement téléchargés ne sont pas truffés de virus et autres vers, et j'en passe). Et ce n'est pas une lubie d'imaginer que ce genre de problèmes et d'attaques arrive réellement. Suivre un tout petit peu l'actualité des questions de sécurité et de sûreté informatique pour s'en convaincre. Il ne s'agit pas ici de cacher des choses (même si en réalité, il y a des choses à cacher, même sur un site ouvert comme celui-ci). Il s'agit de protéger les utilisateurs (et donc le site).
Sur ce forum, quand on s'inscrit, on a un message qui propose d'aider le site en le promouvant. Pour ma part, malgré le grande qualité des contenus et des intervenants, je vais avoir du mal à le promouvoir sachant que ce principe de base de la gestion d'un site web (accès en https pour tout traffic authentifié) n'est pas respecté.
Donc ne vous y trompez pas, en faisant ce post, j'apporte réellement ma contribution au site soudeurs.com (plus que vous ne semblez le croire).
Je ne suis pas soudeur ou chaudronnier de métier, alors quand je cherche à améliorer mes maigres compétences en la matière, je lis des livres, je consulte ce site et je regarde des vidéos. Par contre, gérer des sites web, c'est plus mon rayon, et je sais à peu près de quoi je parle.
David
Bonjour,
je ne suis pas soudeur, je suis développeur web et directeur d'agences. Nous possédons deux agences web en région Luxembourgeoise.
Voilà pour les présentations.
Nous sommes spécialisés dans la gestion de communauté. Certaines de ces communautés possèdent plus d'un million de membres.
Le https est-il une nécessité de nos jours : non, la seule chose positive du certificat SSL semble être l'amélioration du référencement du site, Google semble privilégier les sites en https depuis quelques temps. Mais avec un site de niche comme celui-ci, cela ne s'avère pas vraiment nécessaire.
Le https offre-t-il une protection aux membres ? Mon avis est partagé sur ce genre de site. Il peut y avoir certaines raisons à un problème de sécurité :
# l'utilisateur utilise le même mot de passe sur les sites qu'il visite : le https ne peut pas empêcher ou palier à ce problème.
# l'utilisateur est infecté par un virus de type keylogger : le https ne peut pas empêcher ou palier à ce problème.
# Un pirate intercepte le mot de passe d'un utilisateur qui s'identifie sur le site le https peut (pas toujours) empêcher ce genre de problème, mais encore une fois quel est l'intérêt de déployer ce genre de technique pour prendre possession d'un compte sur un forum ???
Le pirate ne privilégiera-t-il pas un compte administrateur plutôt que celui d'un simple membre sans privilèges réels ? Ne préfèrera-t-il pas utiliser une technique tel que le phishing (contre lequel le https ne peut rien...) pour obtenir les accès ?
# Un pirate prenant possession de votre compte pourra-t-il faire quelque chose de réellement grave ? Hormis poster et probablement se faire bannir endéans les quelques heures qui suivent...
# N'y a-t-il pas eu deux incidents de sécurité (connus) l'année passée avec le https ?
Bref, merci de rester réaliste dans vos débats et éviter de crier au loup alors qu'il n'y a fondamentalement pas de réels raisons à cela.
De là à ne pas recommander le site parce qu'il n'offre pas le https je trouve cela complètement ridicule...
J'ai pris le temps de vous répondre mais malheureusement n'aurait plus cette occasion de suite, une réponse comme celle-ci prend du temps et j'en dispose de très peu.
Cordialement,
Olivier