|
|
  Posté le: Mercredi 19 Mai 2010 10:52:40
Aucun numéro de ligne indiqué dans le profil
|   |
|
|
pilips
Connaisseur
Hors-ligne
Inscrit le : 15 Sep 2004
Messages : 2146
Sexe : 
Forfait : Non abonné à Free
|
|
|
|
|
 |
|
| zed07 a écrit: |
Donc l'identifiant et le login ne sont plus sécurisés.
|
Ils le sont. Les identifiants ne sont envoyés qu'une fois avoir cliqué sur "Connexion". Et lorsqu'on clique sur ce bouton, les identifiants sont bien envoyés vers cette URL : https://subscribes.Free.fr/login/login.pl |
|
|
|
|
Posté le: Mercredi 19 Mai 2010 12:21:01
NRA : 4BE54
(Nancy) V2   
Ligne : 1178 m (16 dB)
| |
|
|
zed07
(Auteur du topic)
Affirmé
Hors-ligne
Inscrit le : 29 Déc 2004
Messages : 141
Sexe :
Ville : Villers Les Nancy
Forfait : Freebox Dégroupage Partiel
Freebox : v6
|
|
|
|
|
|
|
| pilips a écrit: | | zed07 a écrit: |
Donc l'identifiant et le login ne sont plus sécurisés.
|
Ils le sont. Les identifiants ne sont envoyés qu'une fois avoir cliqué sur "Connexion". Et lorsqu'on clique sur ce bouton, les identifiants sont bien envoyés vers cette URL : https://subscribes.Free.fr/login/login.pl |
Je suis désolé, la règle à laquelle on ne doit pas déroger, c'est d'être sur une page sécurisée, cad avec le cadenas dans la barre, AVANT d'entrer qui que ce soit comme identifiant.
Cela signifie que l'on est bien sur la page du bon serveur, ici Free. Il est normal qu'en cliquant sur 'connexion' on reste sur une connexion sécurisée.
Sur le serveur de Free, c'est un peu le bazar ... 
Il y a au moins 4 pages qui demandent les identifiants :
1) http://subscribe.Free.fr/login/
L'accès à cette page n'est pas sécurisé,
Cliquer sur "Connexion" conduit à la page sécurisée n°3
2) https://subscribe.Free.fr/login/
L'accès à cette page est sécurisé,
Cliquer sur "Connexion" conduit à la page sécurisée n°3
(on peut se demander à quoi sert cette page par rapport à la n°3)
3) https://subscribes.Free.fr/login/login.pl
L'accès à cette page est sécurisé,
Cliquer sur "Connexion" reste dans cette page sécurisée n°3
4) http://events.Free.fr
L'accès à cette page n'est pas sécurisé,
Cliquer sur "Connexion" conduit à une page non sécurisée http://events.Free.fr/login.pl |
|
Dernière édition par zed07 le Mercredi 19 Mai 2010 12:22:59; édité 1 fois |
|
|
|
| Posté le: Mercredi 19 Mai 2010 12:28:58
Aucun numéro de ligne indiqué dans le profil
| |
|
|
pilips
Connaisseur
Hors-ligne
Inscrit le : 15 Sep 2004
Messages : 2146
Sexe :
Forfait : Non abonné à Free
|
|
|
|
|
|
|
| Ce n'est pas la présence d'un cadenas qui te garanti que tu es bien sur le bon serveur... |
|
|
|
|
| Posté le: Mercredi 19 Mai 2010 13:19:42
Aucun numéro de ligne indiqué dans le profil
| |
|
|
Et ce n'est pas parce que la page sur laquelle tu entres tes identifiants est servie via HTTPS que la page vers laquelle tu te rends doit être forcément chiffrée. La page après avoir entré les identifiants peut très bien ne pas être chiffrée, et dans ce cas les identifiants circulent en clair sur le réseau malgré la présence du petit cadenas au moment d'entrer les identifiants.
Concrètement, voici ce qui se passe sur le réseau :
* ton navigateur demande la page http://subscribe.Free.fr/login/ : la demande du navigateur et la réponse de Free circulent en clair, mais ne contiennent aucune donnée confidentielle ;
* lorsque tu cliques sur le bouton de connexion, le navigateur envoie les données à l'adresse indiquée dans la page : cette adresse c'est https://subscribes.Free.fr/login/login.pl. Comme elle est servie via HTTPS, le navigateur chiffre les identifiants avant de les envoyer, et la réponse de Free est chiffrée également.
Si tu n'es pas convaincu, tu peux par exemple télécharger le logiciel Wireshark (http://www.wireshark.org/) qui te permettra d'analyser toutes les données qui ont transité sur le réseau, et tu verras bien que même en commençant ta navigation sur la page non chiffrée, les identifiants ne circulent jamais en clair.
Enfin, cela ne m'ennuie pas de continuer cette discussion d'un point de vue plus technique, mais cela se passera plutôt par là : https://www.aduf.org/viewforum.php?f=12 |
|
|
|
|
| Posté le: Mercredi 19 Mai 2010 14:10:52
NRA : 4BE54
(Nancy) V2
Ligne : 1178 m (16 dB)
| |
|
|
zed07
(Auteur du topic)
Affirmé
Hors-ligne
Inscrit le : 29 Déc 2004
Messages : 141
Sexe :
Ville : Villers Les Nancy
Forfait : Freebox Dégroupage Partiel
Freebox : v6
|
|
|
|
|
|
|
| Haya a écrit: | Et ce n'est pas parce que la page sur laquelle tu entres tes identifiants est servie via HTTPS que la page vers laquelle tu te rends doit être forcément chiffrée. La page après avoir entré les identifiants peut très bien ne pas être chiffrée, et dans ce cas les identifiants circulent en clair sur le réseau malgré la présence du petit cadenas au moment d'entrer les identifiants.
Concrètement, voici ce qui se passe sur le réseau :
* ton navigateur demande la page http://subscribe.Free.fr/login/ : la demande du navigateur et la réponse de Free circulent en clair, mais ne contiennent aucune donnée confidentielle ;
* lorsque tu cliques sur le bouton de connexion, le navigateur envoie les données à l'adresse indiquée dans la page : cette adresse c'est https://subscribes.Free.fr/login/login.pl. Comme elle est servie via HTTPS, le navigateur chiffre les identifiants avant de les envoyer, et la réponse de Free est chiffrée également. |
Franchement, ce n'est pas sérieux ! Ce n'est pas au moment où tu cliques que tu dois découvrir que tu vas sur une page sécurisée ou non !
Qu'est-ce qui empêche qu'à partir du portail, à "Mon compte" ça pointe sur https://subscribes.Free.fr/login/ au lieu de http://subscribe.Free.fr/login/ ??? comme ça a été annoncé il y a qques mois ? (voir le post n°1 ici même de Guillaume_M)
"L’ancienne adresse (http://subscribe.Free.fr/login) est toujours accessible et renvoie
automatiquement vers la version sécurisée (https://subscribes.Free.fr/login)"
Je suis désolé, mais j'ai commencé par là ...  sans réponse intelligente ...
https://www.aduf.org/viewtopic.php?t=215447
| Equipe de modération: | Il suffisait de le dire, et on revient ici.  | |
|
|
|
|
| Posté le: Dimanche 23 Mai 2010 22:58:19
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
pereberni
Connaisseur
Hors-ligne
Inscrit le : 26 Oct 2004
Messages : 48024
Sexe :
Ville : SAINT JEAN DE BRAYE
Forfait : Freebox Dégroupage Total
Freebox : v5
|
|
|
|
|
|
|
Pour ceux qui veulent savoir la vérité c'est simple, sniffer votre lan  et vous verrez |
|
_________________
Voici mon poème préféréUn freenaute heureux = un pereberni heureux
Le français n'a jamais été ma langue préférée, alors ... |
|
|
|
| Posté le: Lundi 24 Mai 2010 18:00:08
NRA : 4BE54
(Nancy) V2
Ligne : 1178 m (16 dB)
| |
|
|
zed07
(Auteur du topic)
Affirmé
Hors-ligne
Inscrit le : 29 Déc 2004
Messages : 141
Sexe :
Ville : Villers Les Nancy
Forfait : Freebox Dégroupage Partiel
Freebox : v6
|
|
|
|
|
|
|
| Equipe de modération: | | Citation intégrale retirée. |
Les modérateurs ont remis mes posts dans ce forum où j'avais initié le thread, mais ça n'a rien changé !
Alors, à tout hasard, voici 2 exemples de sites "sérieux" :
http://www.ebay.fr
Cliquez sur "Ouvrir une connexion"
ou bien
http://www.boursorama.com
Cliquez sur "Accès client/membre"
Sans les 2 cas, où vous retrouvez-vous AVANT d'avoir tapé vos identifiants ?
Chez Free, quelle est la bonne raison pour que le lien attaché à "Mon compte" ne soit pas https://subscribe.Free.fr/login/ ?
J'attends toujours une réponse sérieuse ... |
|
Dernière édition par zed07 le Lundi 24 Mai 2010 18:01:31; édité 1 fois |
|
|
|
| Posté le: Lundi 24 Mai 2010 18:08:44
Aucun numéro de ligne indiqué dans le profil
| |
|
|
| zed07 a écrit: | | J'attends toujours une réponse sérieuse ...[/color] |
Je vais essayer de ne pas le prendre mal, hein..
Comme on ne se comprend pas, j'essaie de poser des questions.
À ton avis, quel est l'intérêt que la page sur laquelle on tape ses identifiants soit servie en HTTPS plutôt qu'en HTTP ?
Sachant que le web est fait de la façon suivante (et ça, c'est indépendant de Free, cela vient de l'IETF principalement) :
* le point crucial pour la sécurité, c'est que les identifiants ne circulent pas en clair sur le réseau,
* pour cela, le fait que la page sur laquelle on tape les identifiants soit chiffrée ou non n'a absolument aucun impact,
* ce qui est important, c'est de savoir si la page après le login (donc celle qui reçoit les données) est chiffrée ou non.
Est-ce que mon explication est claire, ou l'un de ces points reste obscur ?
Si on imagine un cas inverse de ce qui se produit chez Free :
* si la page sur laquelle on entre les identifiants est service en HTTPS,
* mais que la page sur laquelle on arrive après est servie simplement en HTTP,
* alors le navigateur enverra les identifiants en clair sur le réseau. Rien n'est sécurisé dans cette affaire.
Sinon, as-tu tenté wireshark comme je te l'avais suggéré ? Cet outil te permet de voir quelles données transitent sur le réseau, pour mieux comprendre ce qui se passe. |
|
|
|
|
| Posté le: Vendredi 11 Juin 2010 13:37:07
NRA : 4BE54
(Nancy) V2
Ligne : 1178 m (16 dB)
| |
|
|
zed07
(Auteur du topic)
Affirmé
Hors-ligne
Inscrit le : 29 Déc 2004
Messages : 141
Sexe :
Ville : Villers Les Nancy
Forfait : Freebox Dégroupage Partiel
Freebox : v6
|
|
|
|
|
|
|
Tiens, tiens ...
<http://www.universfreebox.com/article11123.html>
|
|
|
|
|
| Posté le: Vendredi 11 Juin 2010 14:18:33
Aucun numéro de ligne indiqué dans le profil
| |
|
|
Je commence à songer que le temps que j'ai passé à te répondre et t'expliquer des trucs n'était qu'une perte de temps, puisque tu as l'air d'ignorer mes réponses...  |
|
|
|
|
| Posté le: Vendredi 11 Juin 2010 21:40:20
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
Exosud
Connaisseur
Hors-ligne
Inscrit le : 03 Mar 2004
Messages : 45974
Sexe :
Ville : Saint-Cyr sur mer
Forfait : Freebox Dégroupage Total sur ligne inactive (NDI)
Freebox : v6
|
|
|
|
|
|
|
| Haya a écrit: |
Je vais essayer de ne pas le prendre mal, hein..
|
 |
|
|
|
|
| Posté le: Samedi 12 Juin 2010 09:25:09
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
netghost
Connaisseur
Hors-ligne
Inscrit le : 28 Fév 2009
Messages : 13066
Sexe :
Ville : Annoeullin
Forfait : Freebox Dégroupage Total
Freebox : N/A
|
|
|
|
|
|
|
| Exosud a écrit: | | Haya a écrit: |
Je vais essayer de ne pas le prendre mal, hein..
|
|
Il y en a qui ont vraiment le moral ... |
|
_________________
« La bière c’est de l’amitié liquide » - (Ronny Coutteure). |
|
|
|
| Posté le: Jeudi 9 Septembre 2010 15:01:57
NRA : 4BE54
(Nancy) V2
Ligne : 1178 m (16 dB)
| |
|
|
zed07
(Auteur du topic)
Affirmé
Hors-ligne
Inscrit le : 29 Déc 2004
Messages : 141
Sexe :
Ville : Villers Les Nancy
Forfait : Freebox Dégroupage Partiel
Freebox : v6
|
|
|
|
|
|
|
| Haya a écrit: | | Je commence à songer que le temps que j'ai passé à te répondre et t'expliquer des trucs n'était qu'une perte de temps, puisque tu as l'air d'ignorer mes réponses... |
L'été est fini, il a fait très chaud, mais Free a continué de travailler, et l'accès sécurisé a été étendu à toute la gestion du compte. Merci ! [Je considère donc que ce sujet est clos] |
|
|
|
|
| Posté le: Jeudi 9 Septembre 2010 15:19:16
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
netghost
Connaisseur
Hors-ligne
Inscrit le : 28 Fév 2009
Messages : 13066
Sexe :
Ville : Annoeullin
Forfait : Freebox Dégroupage Total
Freebox : N/A
|
|
|
|
|
|
|
|
_________________
« La bière c’est de l’amitié liquide » - (Ronny Coutteure). |
|
|
|
|
|
