|
Posté le: Samedi 8 Septembre 2007 17:23:57
Aucun numéro de ligne indiqué dans le profil
| |
|
|
raiten (Auteur du topic)
Nouveau
Hors-ligne
Inscrit le : 07 Sep 2007 Messages : 12
Sexe :
Ville : Paris
Forfait : Freebox Dégroupage Partiel
|
|
|
|
|
|
|
copie de posts récents sur les newsgroup.
===
Date: Tue, 04 Sep 2007 19:42:57 +0200
Newsgroups: proxad.Free.services
Subject: sécurité: https, pop3s, ...
Bonjour
est-ce que Free prévoit un jour de fournir des services assortis de
certificat avec la sécurité correspondante ?
je pense à tous ceux qui consultent
- la console Free http://Free.fr
- leur messagerie en webmail http://imp.Free.fr
- leur messagerie en pop
- la voix sur ip en Secure SIP
et tous les autres services de Free
ca fait un peu vide comme rappelé sur ce forum
http://www.Free-news.net/forum.....p?id=11043
et c'est très dommageable vis à vis des clients qui utilisent ces
services en dehors de chez eux (pour la faible protection que cela
apporte d'être chez soi)
De plus, cela réduit le message que les banques et autres commercants
font passer pour un usage du https. Ainsi dans les récents cas de
phishing concernant Free, on ne peut même pas demander vérifier le https
du site web (qui n'est nullement suffisant) puisque Free l'ignore ...
ce serait bien que Free qui cherche à être à la pointe de l'innovation
ne soit pas à la traîne sur les aspects sécurité.
===
Subject: Re: sécurité: https, pop3s, ...
Bonjour
xxx wrote on 4/09/07 23:09:
> > Le modèle de sécurité de SSL demlanderait de toute façon pour être
> > appliqué qu'on commence par virer TOUS les certifcats d'autorité
> > ppré-installés et qu'on n'installe QUE les certificats des autoruités
> > dont on connait et approuve la politique.
très difficilement gérable même pour des informaticiens.
utopique pour le grand public
> >
> > Bref HTTPS pour des connexions de grand public c'est du foutage de
> > gueule, du moins pour la fonction "authentification du serveur". Ça sers
> > simplement à chiffrer la transmission des informations (mais pas de
> > chiffrement sur le serveur contacté, juste la transmission).
disons que si le grand public lisait le détail du certificat en
cherchant "nom de boite" signé par verisign ou Thawte, il y a moins de
risque d'usurpation. Mais je te l'accorde, le principal point est de
CHIFFRER et ca MANQUE cruellement chez Free pour la console, le webmail.
ca pourrait aussi être utile pour les accès phpmyadmin et un ftp avec
TLS ou sftp. (oui, ca peut poser un problème de charge pour certains
services, mais pour le https ...)
Dans le même style de règle simple que le grand public ne comprend pas,
vérifier que le domaine racine est bien celui de l'entreprise ...
http://mabanque.totoh00xx.com, ça manque de classe ...
à noter, je suis d'accord que pour la chaine mail, une protection
efficace nécessiterait de se faire sur l'ensemble de la chaine (ce qui
est difficilement faisable) mais ce n'est pas une raison pour ne
protéger le login/mot de passe et les données.
ce n'est pas parce que tout le monde s'en fout et fait n'importe quoi,
que les entreprises sérieuses doivent aussi faire n'importe quoi.
Globalement, pour un usage du https
- on chiffre, ce qui bloque/réduit les risques d'interception. c'est
moins gênant lorsqu'on consulte sa console entre chez soi et le réseau
Free. c'est nulle si on le fait de l'extérieur.
- la majorité des sites frauduleux actuels sont sans https
- c'est un message commun des acteurs bancaires, e-commerce & co de dir
utiliser https et vérifier que le cadenas est présent avant de se
logguer sur quelque chose de sensible.
par contre, oui
- il est très simple de créer un certificat auto-signé et comme nombre
d'entreprises licites tolèrent des messages d'erreurs (certificat
expiré, auto-signé, etc.) cela rend le message au grand public
incompréhensible.
- l'authentification est sous-utilisée car pas assez lisible pour le
grand public.
- ca ne bloque pas les attaques avancées (qu'on observe sur les banques)
comme le keylogging, formgrabbing [1], le vol de cookie et plein
d'autres choses.
A+
[1]
http://ip.securescience.net/ex.....boards.pdf
===
Date: Wed, 05 Sep 2007 20:46:43 +0200
Newsgroups: proxad.Free.services.messagerie
Subject: limitation mot de passe 8 caractères ?
Bonjour
j'ai constaté récemment que le mot de passe de messagerie était limité
(plutôt tronqué) à 8 caractères. pourquoi ?
à quoi sert cette limitation ?
autre point, comme on vient de me reposter mon mot de passe mail. il
semble que Free stocke en clair les mots de passe puisqu'ils peuvent les
renvoyer (et pas les réinitialiser).
est-ce normal ? ca ne fait pas vraiment partie des bonnes pratiques en
terme de sécurité.
merci
A+
===
ce serait cool que Free bouge
autres liens sur le sujet:
+ Vos coordonnées bancaires circulent en clair sur internet.
https://www.aduf.org/viewtopic.php?t=68887
+ Accès sécurisé aux outils Free.fr
https://www.aduf.org/viewtopic.php?t=60831
+ Page type de sensibilisation Protegetonordi
http://www.protegetonordi.com/.....es_02.html
+ imap et smtp sécurisés ?
http://www.freenews.fr/forum/v.....p?id=22665
+ Sécurité chez Free ????
http://www.freenews.fr/forum/v.....p?id=21576
+ Sécurité sur Free : Touche pas à ma passoire !
http://www.freenews.fr/forum/v.....p?id=16996
+ Réclamons plus de sécurité pour la connexion Free
http://www.freenews.fr/forum/v.....p?id=16282
+ Fetchmail avec du Pops (Pop sécurisé)
http://muttfr.org/gen.php3/sec.....0,1,0.html (commentaires)
note: ai pas trouvé d'archives des news proxad.Free pour mettre juste des liens ... quelqu'un sait si il y en a en public ? |
|
Dernière édition par raiten le Samedi 8 Septembre 2007 17:24:28; édité 1 fois |
|
|
|
Posté le: Samedi 8 Septembre 2007 17:32:29
Pas de caractéristiques de ligne pour un abonnement avec construction de ligne
| |
|
|
freemat
Webmaster
Hors-ligne
Inscrit le : 06 Mar 2004 Messages : 23595
Sexe :
Ville : Montargis
Forfait : Freebox Dégroupage Total avec construction de ligne
Freebox : v4r
|
|
|
|
|
|
|
Prendre des offres pro pour ce genre de chose.
La charge supplémentaire serait assez énorme...
Pour les mails il y l'APOP pour protéger l'authentification. |
|
_________________ Mat
[1] Posez votre question sur le forum en priorité, et non par messages privés
[2] Evitez de poster votre propre problème dans le topic d'un autre membre
[3] Si votre problème est résolu, modifiez le statut de votre topic en bas de la page |
|
|
|
Posté le: Samedi 8 Septembre 2007 19:06:40
Aucun numéro de ligne indiqué dans le profil
| |
|
|
raiten (Auteur du topic)
Nouveau
Hors-ligne
Inscrit le : 07 Sep 2007 Messages : 12
Sexe :
Ville : Paris
Forfait : Freebox Dégroupage Partiel
|
|
|
|
|
|
|
je ne vois pas en quoi ajouter des certificats ssl est énorme
pour le https sur imp.Free.fr, subscribe.Free.fr
- 500 à 2000 Eur/certificat selon le type de certificat pour 3 ans
ex: http://www.thawte.fr/certifica.....icats-ssl/
si Free a pas moyen de se payer ca ...
- suppléments de charge
au niveau serveurs web, ce serait étonnant que Free ait des serveurs si faible qu'ils ne puissent gérer du https, comparé aux autres FAI, commercants en ligne, etc.
- maintenance: qq jour Homme par an mais pas enorme (achat, renouvellement, controle)
c'est une techno bien maitrisée aujourd'hui sauf à recruter des admins sous-doués
ca n'est guère plus compliqué sur le pop3s
le seul où l'on peut concéder une charge forte c'est pour la voip. aucun système actuel, même professionnel n'est capable de gérer du sips/srtp sur des milliers ou dizaine de milliers d'utilisateurs simultanés.
de même, pourquoi cette limitation à 8 de la taille des mots de passe ? c'est sûr que mettre 8 au lieu de 16 ou 32 dans la base de donnée, ca économise de la place, mais est-ce raisonnable ...
et avec un hash, la taille est fixe quelque soit la taille du mot de passe. |
|
|
|
|
Posté le: Samedi 8 Septembre 2007 19:10:28
Pas de caractéristiques de ligne pour un abonnement avec construction de ligne
| |
|
|
freemat
Webmaster
Hors-ligne
Inscrit le : 06 Mar 2004 Messages : 23595
Sexe :
Ville : Montargis
Forfait : Freebox Dégroupage Total avec construction de ligne
Freebox : v4r
|
|
|
|
|
|
|
Je pense que c'est historique pour la longueur du mot de passe, certains services à l'époque ne devaient pas supporter des mots de passe plus longs.
Pour le reste, c'est pas une question de coût des certificats, mais de charge induite sur les serveurs (forcément plus que si c'était non crypté).
Par contre, il ne devrait être possible que de sécuriser les authentifications (comme pour le apop), ce qui serait déjà pas mal. |
|
_________________ Mat
[1] Posez votre question sur le forum en priorité, et non par messages privés
[2] Evitez de poster votre propre problème dans le topic d'un autre membre
[3] Si votre problème est résolu, modifiez le statut de votre topic en bas de la page |
|
|
|
Posté le: Mercredi 12 Septembre 2007 21:20:42
Aucun numéro de ligne indiqué dans le profil
| |
|
|
raiten (Auteur du topic)
Nouveau
Hors-ligne
Inscrit le : 07 Sep 2007 Messages : 12
Sexe :
Ville : Paris
Forfait : Freebox Dégroupage Partiel
|
|
|
|
|
|
|
|
|
|
|
Posté le: Jeudi 20 Septembre 2007 22:27:26
NRA : C2433
(Cestas) mini
Ligne : 2224 m (24 dB)
| |
|
|
durp33
Intéressé
Hors-ligne
Inscrit le : 11 Jan 2007 Messages : 92
Sexe :
Ville : Cestas/BORDEAUX
Forfait : Freebox Dégroupage Total
|
|
|
|
|
|
|
Les mots de passe sur 8 caractères sont une limite de base sur les serveurs UNIX (AIX, SOLARIS, LINUX).
Le passage à plus de caractères est bien sur possible mais impose un changement dans les méthodes de sécurité sur les phases de login. Leur implementation n'est pas trés simple mais largement faisable......
Donc sympa le cours de sécurité ci dessus mais l'auteur du TOPIC doit savoir que la la mise en place de la sécurité n'est pas difficile techniquement mais bien que le blocage se situe au niveau du coût d'implementation et du temps passé.
Seuls certains organismes ont des obligations contractuelles sinon on prends des risques si le R.O.I n'est pas garantie.... |
|
|
|
|
|
|