Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Voir le sujet précédent Voir le sujet suivant Aller en bas

Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par tarsonis le Ven 2 Jan 2015 - 20:12

Salut à tous !

Comme je me suis beaucoup déplacé l'année dernière, je me suis connecté sur Olduvaï à de nombreuses reprises via des accès internet un peu olé olé (aéroports, hôtels, etc...) comparés à mon accès perso, mon pont VPN, etc....

J'ai remarqué un gros problème qui touche Forumactif, alors que des tas de forums ont déjà rectifié le tir : https n'est pas implémenté.
Comme ceux qui ont déjà posé la question sur le forum des forums de Forumactif (notre hébergeur) se sont fait rembarrer, j'ai usé de pédagogie pour expliquer ce problème aux admins, et vous partage la discussion :

http://forum.forumactif.com/t373926-https-sur-forumactif-en-2014?thank=3157071

============================================================
Tarsonis a écrit:
Bonjour,
je sais que le sujet a déjà été ouvert par le passé, dont une fois en 2014.
La seule réponse apportée à la question
Est ce qu'il est possible d'activer HTTPS ?
a été :
Non ce n'est pas possible. Le https ne s'utilise que pour l'envoi de données cryptées.

http://forum.forumactif.com/t331243-mettre-le-https-sur-un-forum

Je ne comprends pas vraiment cet argument, c'est justement le but, crypter une connexion !
Ce n'est pas réservé aux transactions bancaires, quasiment tous les sites usuels proposent le protocole HTTPS : Facebook, Twitter, Youtube, et bon nombre de forums.

Ce protocole est le seul moyen de sécuriser une connexion entre un utilisateur et forumactif.

A l'heure actuelle, absolument TOUTES les informations transitent en clair sur sur le réseau.
C'est à dire, qu'en tant qu'administrateur du forum, mon login ET mon mot de passe (+ le texte, les MPs, etc...) sont transparents pour tous les noeuds du réseau.

Que ce soit dans un hôtel avec le wifi, dans une gare, un aéroport, depuis un cybercafé, un réseau de fac ou d'entreprise (+FAI), un simple soft comme Wireshark peut filtrer et retrouver ces infos en quelques secondes.

Cela compromet tout de même les informations personnelles de tous les utilisateurs du forum (mails perso, comptes, etc...).
Et par extension, celles de TOUS les utilisateurs de Forumactif.

Accessoirement, c'est un point essentiel de neutralité du net, qui permettra aux utilisateurs d'accéder au forum quel que soit le filtrage en place (j'ai un accès difficile depuis Singapour car certaines parties du forum contiennent des mots clefs filtrés).

Comme beaucoup de forums que je fréquente ont déjà adopté https, je vous repose la question autrement :
Vous n'implémentez pas HTTPS pour complexité technique, ou bien par choix politique ?

Merci d'avance pour votre réponse.
============================================
The Godfather a écrit:

Bonjour et merci pour cette question pertinente,

Comme vous devez le savoir, la sécurité des informations qui transitent par le protocole HTTPS est basée sur l'utilisation d'un algorithme de chiffrement, et sur la reconnaissance de validité du certificat d'authentification du site visité.

Mais bien que l’HTTPS permet une vérification de l'identité du site web auquel vous accédez, la garantie de confidentialité et de l'intégrité des données envoyées via ce protocole et reçues du serveur reste théorique…  

En effet, des chercheurs en sécurité informatique ont présenté lors de différentes conférences spécialisés (Blackhat Conference, Ekoparty Security Conference…etc.), des protocoles (exemple : « Man in the middle »), afin de contourner le chiffrement HTTPS. Des protocoles dont l’efficacité a était démontrée...  

Dès lors, l’HTTPS n’est pas la réponse à tout. Bien que limitant certains risques, il reste tout aussi vulnérable. D’autant plus qu’appliquer pareil protocole sur nos forums impliquerai l’obligation d’obtention d’un certificat HTTPS pour chaque forum Forumactif, soit des 100énes de milliers de certificats ! Et même si on suppose que cela soit possible et qu’un forum puisse assumer le coup financier de son certificat, absolument tout son contenu doit également être chiffré en https sinon les pages du forum déclencheront de fausses alertes de sécurité (pour ne citer que cet exemple car d'autres cas particuliers existent)!

Très difficile voir impossible de garantir cela surtout que par principe dans un forum, c’est la communauté qui fait son contenu et tout le monde peut poster ce qu'il veut. Le problème est qu’il suffit qu’un utilisateur poste un contenu qui n’est pas sécurisé en HTTPS (une image dans un message par exemple qui n'est pas hébergé en https) pour déclencher une alerte de sécurité faisant peur a tout ceux qui consultent le forum impactant ainsi négativement son audience…

En gros, l'HTTPS "oui" mais pas pour tous les cas. Car dans le nôtre, bien que nous sommes conscient de son utilité dans certains cas, et au delà du fait que cela ajoute un coup financier non négligeable que beaucoup de forums ne pourront pas amortir, il est bien difficile de le mettre en place sur nos forums sans risquer de pénaliser pas mal d’utilisateurs

Néanmoins rassurez-vous c’est une option qui est à l'étude par nos équipes de recherche & développement et peux être qu’un jour on pourrait la mettre en place d’une façon efficiente pour tous sur nos services.

En tout cas, le message est passé


Merci
===================================

Tarsonis a écrit:
par Tarsonis le Jeu 27 Nov 2014 - 22:37
Bonjour,
merci pour votre réponse rapide et complète.

Je sais pertinemment que l'accès exclusif en HTTPS pur n'est pas réalisable en permanence, avec liens externes, images, etc... qui vont fuiter dans tous les sens

L'essentiel de mon problème tourne bien entendu autour des modalités de connexion; quand j'ai remarqué que mes login et mdp transitaient en clair, cela m'a un peu gêné. Pour le parcours et la gestion du forum, c'est mois embêtant

Je ne pensais pas que la structure en place nécessitait un certificat par forum, mais bien un seul pour avoir accès à votre base de donnée.

Message bien reçu

Bon, je ne leur ai pas plus cassé les pieds et plusieurs d'entre vous vont sûrement sourire à la réponse qui m'a été donnée....

Donc :
- les login et mot de passe transitent en clair sur tout le réseau (vu avec Wiresharck)
- le mot de passe est en clair dans leur base de données (envoi par mail).

Mes recommandations pour les membres des forums liés à l'hébergeur Forumactif :

- J'aurais tendance à éviter de me connecter via des réseaux internet non fiables (gares, hôtels, aéroports, cybercafé, etc...).
- Il serait préférable de changer de temps en temps de mot de passe. Mais il est important de noter que l'accès à sa boite mail subit le même problème : connexion sécurisée obligatoire sinon n'importe qui arrive à réinitialiser le mdp. Exemple : gmail (en ligne) accepte le https, tout comme la configuration de Thunderbird (en client local) si le serveur mail l'autorise.
- Quand on se connecte, il est possible de voir la date et l'heure de la dernière connexion en haut à droite. Par exemple pour moi : "Dernière visite le Ven 2 Jan 2015 - 18:36".
Si cette date vous paraît complètement absurde par rapport à votre dernière connexion effective, vous pouvez avoir un doute concernant une utilisation frauduleuse de votre compte.
- Le protocole https n'est pas réservé au chiffrage des données bancaires, mais bien à ce que vous échangez sur le net. C'est le premier point de sécurité à propos de votre accès sur internet; il faut l'exiger. A titre d'exemple, j'ai eu un mal fou pour accéder depuis Singapour à Olduvaï, certaines pages d'Amazon, d'Ebay, de Youtube, etc...des problèmes qui touchent amha également certains de nos membres....car là bas le net est relativement filtré par mot clef. HTTPS permet de s'en affranchir la plupart du temps...sauf pour forumactif puisque le protocole n'est pas implémenté.
Second cas qui intéressera certains qui s'amusent avec la loi par MP ou dans des parties à accès restreint sur certains forums : tous vos écrits transitent en clair depuis votre ordinateur jusqu'à celui qui ouvre la page du topic, en passant par les FAI, les noeuds, etc....couplez à cela avec les dernières news du topic Enfer informatique clind'oeil

________________________________________________________
Nous devons apprendre à vivre ensemble comme des frères, sinon nous allons mourir tous ensemble comme des idiots. M. L. K.
Step It Up - Mia Dolls - Un Mauvais Fils - 25 Years of Zelda - Machinarium - Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France

tarsonis
Co-administrateur

Masculin Nombre de messages : 7987
Age : 30
Localisation : Est
Loisirs : Randonnée, botanique, bidouillages DIY, médecine, bouquins SF.
Date d'inscription : 21/05/2008

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par Cyrus_Smith le Sam 3 Jan 2015 - 12:26

Salut,

Merci d'avoir pris le temps de faire la demande, c'est une question qui me préoccupe aussi.

tarsonis a écrit:plusieurs d'entre vous vont sûrement sourire à la réponse qui m'a été donnée....
Travaillant dans ce domaine, ce genre de réponse, hélas courant, m'agace plus qu'elle ne me fait sourire. En effet, très franchement, cette réponse de l'admin est du pipeau: il serait possible d'utiliser HTTPS uniquement pour l'identification et l'authentification (le problème des contenus externes ne se pose alors pas) et (avec les navigateurs modernes du moins, c'est à dire ceux qui supportent l'option SNI de TLS) seulement pour les forums qui le souhaitent (possibilité d'une option payante). Mais il est depuis longtemps manifeste que la sécurité n'est pas la priorité de forumactif.

Et je considère ceci comme la cerise sur le gateau:
The Godfather a écrit:Mais bien que l’HTTPS permet une vérification de l'identité du site web auquel vous accédez, la garantie de confidentialité et de l'intégrité des données envoyées via ce protocole et reçues du serveur reste théorique…  

En effet, des chercheurs en sécurité informatique ont présenté lors de différentes conférences spécialisés (Blackhat Conference, Ekoparty Security Conference…etc.), des protocoles (exemple : « Man in the middle »), afin de contourner le chiffrement HTTPS. Des protocoles dont l’efficacité a était démontrée...  
Traduction: il est possible dans certaines circonstances très particulières et avec un savoir faire rare de crocheter une serrure, donc on ne met pas de serrure. wall
Je suis surpris qu'il n'ait pas aussi mentionné Heartbleed pour affirmer qu'utiliser HTTPS diminuerait la sécurité!


Aux recommandations de tarsonis, j'ajoute celle-ci: quand c'est possible, privilégier la connexion par GSM/3G à un Wifi inconnu et/ou en clair (à condition de chiffrer la connexion entre le téléphone et l'ordi, sinon ça ne change pas grand chose.). Aristote avait donné une marche à suivre.


À plus long terme, on pourrait envisager des proxies HTTPS, c'est-à-dire des relais auxquels, lorsque l'on est en déplacement, on se connecterait de manière sûre (connexion HTTPS), et qui transmettraient vers la destination réelle (en clair cette fois). Le problème est qu'il faut faire confiance au relais utilisé, puisqu'il voit passer sans protection le contenu de la communication, y compris donc le mot de passe.
À ce propos, je déconseille vivement l'usage des services de proxies "gratuits" qui existent sur divers sites internet: souvent leur business model est en fait basé sur la récupération de mots de passe (et de là d'autres choses). Pour des raisons similaires, l'usage de Tor est aussi à proscrire dans ce cas: les points de sortie sont susceptibles à des attaques du même type.
La question est donc à quel proxy chacun pourrait-il faire confiance? Une réponse est: "à son propre proxy". Celui-ci peut alors s'envisager comme un service que l'on laisserait tourner sur un ordinateur à la maison, ordinateur qui pourrait être une Oldubox. Lors d'un déplacement, on se connecterait ainsi d'abord chez soi de manière sûre (HTTPS), et de là la connexion se ferait comme d'habitude; même si la liaison entre le lieu où l'on se trouve et le domicile est douteuse, HTTPS protègerait cette partie.
S'il y a des gens que ce problème inquiète suffisamment, on peut ouvrir un fil dans les ateliers pour réfléchir à cette question.

tarsonis a écrit:Second cas qui intéressera certains qui s'amusent avec la loi par MP ou dans des parties à accès restreint sur certains forums : tous vos écrits transitent en clair depuis votre ordinateur jusqu'à celui qui ouvre la page du topic, en passant par les FAI, les noeuds, etc.
C'est très vrai, mais dans ce cas https est rarement suffisant...

Cyrus_Smith
Modérateur

Masculin Nombre de messages : 2136
Localisation : Île mystérieuse
Date d'inscription : 02/09/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par tarsonis le Sam 3 Jan 2015 - 16:18

Merci Cyrus !
Cyrus_Smith a écrit:En effet, très franchement, cette réponse de l'admin est du pipeau: il serait possible d'utiliser HTTPS uniquement pour l'identification et l'authentification
C'est bien ce que je me disais. Au moins sur les identifiants, les membres (et à fortiori les admins) de Forumactif devraient pouvoir se connecter sans énorme fuite en plein milieu.


Aux recommandations de tarsonis, j'ajoute celle-ci: quand c'est possible, privilégier la connexion par GSM/3G à un Wifi inconnu et/ou en clair
Bien vu !


La question est donc à quel proxy chacun pourrait-il faire confiance? Une réponse est: "à son propre proxy".
Est-ce que tu aurais une solution autonome et relativement simple pour contourner le problème des IP dynamiques de certains FAI ? Mon VPN tourne avec no-ip, mais c'est un peu instable.... clind'oeil


C'est très vrai, mais dans ce cas https est rarement suffisant...
Disons que cela me semble être la première brique, nécessaire mais non suffisante fouet

________________________________________________________
Nous devons apprendre à vivre ensemble comme des frères, sinon nous allons mourir tous ensemble comme des idiots. M. L. K.
Step It Up - Mia Dolls - Un Mauvais Fils - 25 Years of Zelda - Machinarium - Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France

tarsonis
Co-administrateur

Masculin Nombre de messages : 7987
Age : 30
Localisation : Est
Loisirs : Randonnée, botanique, bidouillages DIY, médecine, bouquins SF.
Date d'inscription : 21/05/2008

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par Cyrus_Smith le Sam 3 Jan 2015 - 16:57

tarsonis a écrit:Est-ce que tu aurais une solution autonome et relativement simple pour contourner le problème des IP dynamiques de certains FAI ? Mon VPN tourne avec no-ip, mais c'est un peu instable.... clind'oeil
De solution simple non.
Une alternative qui semble bien marcher (collègue) mais difficile à mettre en place initialement est l'utilisation de tunnels IPv6 de manière à avoir une adresse IP[v6] fixe. L'adresse IP[v4] donnée par le FAI reste dynamique, mais un script sur la machine rétablit le tunnel dès que nécessaire. Dans le cas qui nous intéresse, on pourrait même normalement se débarrasser d'HTTPS et du proxy au profit d'IPsec et d'un simple routage du trafic de la machine mobile vers la machine fixe, via la liaison IPv6 protégée par IPsec.

Si on essaye de fournir une solution "clef en main" à partir d'Olduboxes par exemple, ce serait à envisager, puisque la partie difficile de la configuration n'aurait alors pas besoin d'être faite par l'utilisateur. scratch

tarsonis a écrit:
C'est très vrai, mais dans ce cas https est rarement suffisant...
Disons que cela me semble être la première brique, nécessaire mais non suffisante fouet
Dans le contexte de "s'amuser avec la loi", comme tu l'écris, je ne suis même pas sûr que HTTPS soit réellement la brique de base appropriée, le serveur est un point trop vulnérable. Des solutions plus robustes passeraient par des choses comme Freenet et les services cachés de Tor.

Cyrus_Smith
Modérateur

Masculin Nombre de messages : 2136
Localisation : Île mystérieuse
Date d'inscription : 02/09/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par tarsonis le Sam 3 Jan 2015 - 18:34

Re !
Cyrus_Smith a écrit:l'utilisation de tunnels IPv6 de manière à avoir une adresse IP[v6] fixe. L'adresse IP[v4] donnée par le FAI reste dynamique, mais un script sur la machine rétablit le tunnel dès que nécessaire. Dans le cas qui nous intéresse, on pourrait même normalement se débarrasser d'HTTPS et du proxy au profit d'IPsec et d'un simple routage du trafic de la machine mobile vers la machine fixe, via la liaison IPv6 protégée par IPsec.
En voilà une idée qu'elle est bonne ! clind'oeil


Dans le contexte de "s'amuser avec la loi", comme tu l'écris, je ne suis même pas sûr que HTTPS soit réellement la brique de base appropriée, le serveur est un point trop vulnérable. Des solutions plus robustes passeraient par des choses comme Freenet et les services cachés de Tor.
Entièrement d'accord, juste que pour les membres qui utilisent Forumactif pour échanger du contenu critique (les anciens voient sûrement lesquels j'ai en tête, qui ont une tendance lourde à appeler leurs congénères des "zombies", à nous estampiller "bisounours", et à "refaire" le monde dans une "partie privée"), cela va commencer à leur faire froid dans le dos; cette boutade leur était destinée clind'oeil

________________________________________________________
Nous devons apprendre à vivre ensemble comme des frères, sinon nous allons mourir tous ensemble comme des idiots. M. L. K.
Step It Up - Mia Dolls - Un Mauvais Fils - 25 Years of Zelda - Machinarium - Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France

tarsonis
Co-administrateur

Masculin Nombre de messages : 7987
Age : 30
Localisation : Est
Loisirs : Randonnée, botanique, bidouillages DIY, médecine, bouquins SF.
Date d'inscription : 21/05/2008

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par logan le Mar 6 Jan 2015 - 13:57

Bien vu d'avoir relancer forumactif sur le sujet !

Puis les "wildcard certificat" existent, pas forcément besoin d'avoir un certificat dédié pour chaque sous-domaine ou forum.
Et les certificats gratuits ca existe aussi, comme cacert.org ...
Arf ...

Aussi la requete qui passe sur le réseau quand on se connecte sur le forum est la suivante :
http://www.le-projet-olduvai.com/login?autologin=on&login=Connexion&password=xxxxxxxxx&query=&redirect=&username=logan (mon pass remplacé bien sûr par xxxxxxxxx)
C'est plutot très explicite pour quiconque fait de l'interception de traffic entre le client et les serveurs forumactifs (ils pourraient au moins codé les champs autrement).
Re arf ...

Les solutions proposées par Cyrus sont intéressantes.

Sinon au pire du pire, si on utilise un wifi pas secure et qu'on n'a pas de vpn dédié, on peut toujours utiliser des browser vpn ssl gratuit comme https://1.hidemyass.com
Ca chiffre au moins la connexion de sortie, entre vous et le vpn. Donc le routeur wifi de l'hotel par exemple ne voit pas le mot de passe du forum en clair par exemple.
Après comme disait Cyrus ca suppose de faire confiance aux personnes qui gérent le vpn .. et les infos transitent toujours en clair entre le vpn et forumactif.
ps : hidemyass sont sérieux quand même, par contre n'allez pas pirater des agences gouvernementales avec, car ils fourniront vos infos comme ils l'ont fait pour lulzsec clind'oeil

logan
Animateur

Masculin Nombre de messages : 2428
Localisation : France
Emploi : Ingénieur IT
Date d'inscription : 17/03/2008

Voir le profil de l'utilisateur http://oldu.fr/

Revenir en haut Aller en bas

Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par logan le Mar 6 Jan 2015 - 15:35

Un autre truc embêtant avec le fait de surfer sur des sites non ssl par exemple, c'est que tout le contenu (tous les "mots") de la page que vous consultez, circulent en clair sur le réseau.

Si vous consultez fréquemment, même sans intention mauvaise, des pages qui contiennent des mots sensibles. au pif : "terrorisme, al quaida", "glock 26", "chlorate de soudre, engrais, sucre" ou bien d'autres encore comme vous pouvez l'imaginez ... Les filtres placés sur les routeurs et autres équipements un peu partout dans le monde et contrôlés par la NSA, le GCHQ et les autres, vont dans certains cas ajoutés à votre "profil" quelques petits points de bonus supplémentaires clind'oeil Votre "profil" sera enrichi de vos nouveaux centres d’intérêt, et vous serez donc un peu plus catalogués dans les gens à surveiller.
Et dans certains cas, plus vous êtes catalogués dans les gens à surveiller, plus on capture et conserve longtemps du traffic vous concernant.

Bon, on est un peu dans le mode parano là, on ne connait pas précisément les filtres en place (et il y a d'autres critères), et tout le trafic n'est pas intercepté tout le temps (quoique sur ce point on s'en approche). Après personne n'imaginait avant Snowden que les capacités d'interception étaient "aussi" puissantes, et elles ont encore bien évolués depuis. Mais au moins en étant en https (ssl), le contenu est chiffré, donc le contenu des pages que vous lisez ne passent pas en clair, c'est déjà ca.

Pour çà que j'essaye d'utiliser quand c'est possible du https (qui n'est pas non plus 100% secure), et même de plus en plus un serveur vpn pour surfer. car même si je ne fais rien de mal, je consulte souvent des sites avec du contenu qui pourrait paraitre suspect, même si ce n'est pas le cas.

A noter aussi, que même si vous utilisez un vpn, vous n'êtes pas forcément anonyme, souvent bien loin de là.
La NSA (entre autre) identifie votre "profil" avec votre adresse ip certes, mais finalement surtout maintenant avec des moyens plus pratiques et efficaces. Car l'adresse ip ca change souvent, au boulot vous n'avez pas la même, en voyage non plus. Donc ils utilisent aussi maintenant les identifiants uniques que fournissent votre navigateurs web, vos cookies, et pas mal d'autres choses. Ils font aussi de l'association de traffic (tous les postes qui se sont connectés à tel email, etc.)

- Bien sûr, vous n’intéressez surement pas la NSA, mais ça n'empêche pas que cette collection massive de données est fait de manière automatique, et pour quasiment tout le monde (dans certains cas ça concerne que les métas-donnés, dans d'autres c'est plus).
- Bien sûr, vous n’intéressez pas les US, et le France capture surement moins de données, mais les états partagent de plus en plus ces données entre eux quand c'est nécessaire.
- Bien sûr, la plupart des gens vont dire, "c'est pas grave, je ne fais rien de mal". C'est surement vrai, mais qui sait quelles seront les lois dans 10 ou 20 ans ? Qui sait aussi ce que vous serez vous même devenu d'ici là ?

Exemple au hasard : Imaginez une situation de crise assez dégradée dans quelques années, vous vous inquiétez et acquérez une arme non déclarée car vous vous faites du souci pour la sécurité de votre famille. Manque de bol, vous vous faites attraper. C'est très très mal, mais vous n’êtes pas forcément un super criminel qui va aller en prison. Imaginez par contre à ce moment qu'on vous sorte, "Monsieur, circonstances TRÈS aggravantes : vous avez déjà consulté 40 fois des pages sur comment acheter des armes, vous avez consulté 50 fois des pages sur comment fabriquer des explosifs, vous avez consulté 1500 fois des pages d'un forum d'illuminés qui parlaient de faire des BAD en France, ce n'est pas un acte isolé, vous avez agi avec préméditation, puis vous avez aussi consulté ... ... et échangés des MP avec ce dangereux ... ... "

Encore une fois j'exagère un peu, mais bon vous voyez surement l'idée clind'oeil

Évitons quand c'est possible, d'enrichir un peu plus les mégas bases de données qui sont en train de se construire sur nos vies en ligne.

logan
Animateur

Masculin Nombre de messages : 2428
Localisation : France
Emploi : Ingénieur IT
Date d'inscription : 17/03/2008

Voir le profil de l'utilisateur http://oldu.fr/

Revenir en haut Aller en bas

Re: Absence d'HTTPS sur Forumactif : notions de sécurité informatique

Message par Cyrus_Smith le Mar 27 Jan 2015 - 12:28

Salut,

Pour les bidouilleurs qui ont envie de bidouiller, ci-joint un fichier de configuration pour HAProxy (v. 1.5.x) qui fait le service mininal:
Code:
# Remplacer aux différents endroits PORT et NOM par les valeurs adéquates.
# Une fois en place, il faut se connecter à https://NOM:PORT/
#
# NOM peut être un nom de domaine ou une adresse IP
# Si PORT < 1024, il faudra probablement être root pour lancer haproxy; il y a
#  alors intérêt à utiliser un nom d'utilisateur distinct + chroot. Ce n'est pas
#  fait dans cet exemple. Voir les options "user", "group" et "chroot".
#
# NOM.pem doit être un certificat pour NOM. Pour générer un certificat auto-signé:
#   openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout NOM.key -out NOM.crt
# (aux questions, ne repondre que NOM à "Common Name", laisser blanc le reste)
#   cat NOM.crt NOM.key > NOM.pem
#
# Si derrière un NAT/firewall, il faudra faire les ouvertures/redirections adéquates.

global
    daemon
    maxconn 32
    tune.ssl.default-dh-param 4096
    ssl-default-bind-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

defaults
    mode http
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms

frontend https-in
    bind *:PORT ssl crt NOM.pem
    rspadd  Strict-Transport-Security:\ max-age=15768000
    default_backend servers

backend servers
    http-request replace-value Host ^(.*)$ www.le-projet-olduvai.com
    http-response replace-value Location ^http://www\.le-projet-olduvai\.com(.*)$ https://NOM:PORT\1
    server server1 le-projet-olduvai.com:80

Cyrus_Smith
Modérateur

Masculin Nombre de messages : 2136
Localisation : Île mystérieuse
Date d'inscription : 02/09/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum