3 - Le site : philosophie, organisation, problèmes...

En http tout fonctionne correctement.
J'ai désactivé le forçage du HTTPS pour contourner le problème.

Bonjour, je voulais juste signaler à tous ceux qui désactivent le ssl (=> autrement dit le s de https) AVANT de se connecter, qu'ils doivent impérativement utiliser un mot de passe qui n'est valable QUE pour CE site!!! Un intermédiaire pourrait observer votre conversation non-chiffrée au moment de l'envoie des informations de connexion. Le repassage en s APRÈS la connexion ne sert pas à grand chose pour se prévenir de se faire voler son mot de passe. (Et votre adresse E-Mail, si c'est ce que vous utilisez pour vous connecter). Après rien ne coûte d'essayer le même mot de passe pour se connecter à la boite mail et éventuellement lire tous vos mails. (C'est le genre de chose que le ssl souhaite prévenir).


J'admire votre implication, mais recommander la désactivation du chiffrement pour le login est très inapproprié et dangereux pour vos utilisateurs, selon moi.

Voir également : [DOUBLON] Connexion https:// besogneuse

je confirme . j'ai dévalidé l'extension "DuckDuckGo Privacy Essentials" et le lien http ne passe plus automatiquement en https. Alors j'arrive de nouveau à me connecter.

Bonjour,

Mon accès au site ne fonctionne déjà plus (je suis du métier donc pas la peine de me demander de vérifier certaines choses). J'utilise Firefox sous Debian testing sans extension particulière ou de réglage exotique.

D'autre part, je suis extrêmement surpris du mécanisme de redirection http > https sur votre DN, il ne fonctionne pas.
De ce fait, l'ensemble des couples id/mdp transitent en clair depuis votre site !
Je ne comprend même pas qu'à l'heure actuelle cela existe encore 😕

Pourquoi personne ne répond aux utilisateurs qui s'inquiètent de devoir se connecter en http ?
Et pourquoi on leur répond de le faire ? Non ne désactivez pas le mécanisme sécuritaire du https !
Il ne faut pas se connecter en http, c'est tout. Le problème est côté site web pas utilisateur.

Bonne journée,

Christophe

Salut Christophe,

Si tu veux, tu peux aider LinuxMAO à basculer en mode https si tu sais comment faire et que ça te semble incontournable aujourd'hui.

Est ce que tu sais ce qu'il faut faire et comment le faire ?

On peut éventuellement en parler sur le canal IRC si c'est plus simple.

Hé, doucement un peu krisden... ici, on est des gentils qui utilisent leur temps perso pour permettre à ce site de se maintenir.

Donc "déso mais pas déso", s'il y a des choses à faire et que tu es de la partie, plutôt que de râler comme tu le fais, tu proposes des choses pour nous aider à améliorer le truc. Ça sera amplement plus efficace car tu n'es pas au service après vente de chez DARTY ici.
Parce que les personnes qui s'inscrivent le 1er février et qui râlent, mettent une pression inutile (tu penses bien que si on est toujours en http en 2024, c'est pas un message sur ce ton qui va changer grand chose) le 3 février, et utilisent des arguments d'autorité tout pourris (même si il est vrai que ça serait mieux en https, on est bien d'accord là dessus), me semble bien plus problématique. Donc tu te calmes stp. Merci.

Maintenant que les limites sont posées, je tiens à rappeler ici à tout lecteur/lectrice, que s'il est vrai que les couples identifiants/mdp utilisés transitent en clair parce que http (sans s), n'oublions pas que les personnes ici n'ont probablement pas d'info ultra-confidentielles à cacher. Et si quelques uns utilisent le même mot de passe ici et ailleurs, alors le problème est probablement sur l'éducation numérique à faire. Alors profitons-en pour la faire ici : n'utilisez jamais le même mot de passe sur plusieurs sites internet, c'est une très mauvaise idée car si on vous poutre votre mdp sur un des sites, alors on a accès aux autres. Et si vous vous dites "oui, mais c'est compliqué à retenir des dizaines voire centaines de mots de passe", n'oubliez pas qu'il existe des outils en local ou en ligne pour gérer cela pour vous (le mot de passe maître de firefox par exemple, keepassxc, bitwarden,...).

Quelques liens pour vous aider :
- https://monitor.mozilla.org/ : surveiller si un de vos comptes a déjà été piraté quelque part (astuce : c'est bizarre, y'a pas linuxmao dans les grosses fuites énormes, on dirait presque que les méchants des internets nous boudent et qu'ils préfèrent aller récolter de l'info sur des gros sites des internets parce qu'elle est revendable...)
- https://www.security.org/how-secure-is-my-password/ : pour tester la fiabilité de vos mots de passe face à une attaque de type "brut-force" (soyez pas bête, ne mettez pas vos mdp réels, on sait jamais si le site security.org se faisait pirater...)
- https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe : parce que l'hygiène numérique, c'est important

Alors, faites gaffe à vous sur les internets et en dehors, et aidez-nous à améliorer ce site avec vos compétences.

Salut Olinuxx,

Bien vu !

Quand au https versus http, c'est juste une vue de l'esprit. Https se fait pigeonner tout aussi facilement.
Quand à l'anonymat sur internet...j'espère qu'on rigole : l'internet libre, c'est fini les gars ! Mettez vous au VPN, qu'on rigole un peu plus ! Tststs

si je suis d'accord avec olinuxx sur le caractère un peu bourrin du post de kristen alors qu'il vient juste de s'inscrire, il faudrait peut etre quand même signaler sur le site au moment de l'inscription que le site est en http , à l'heure ou l'écrasante majorité des sites sont en https.
Peut etre qu'un bandeau bien visible serait le bienvenu , juste en dessous de l'endroit ou on rentre son mot de passe lors de l'inscription où il serait bien mentionné de mettre un mot de passe spécifique et pour informer du fait que le site est en http.(et pourquoi pas en rajoutant les liens que olinuxx a mis sur son post ci dessus)
je n'ai aucun doute que le site linuxmao est sans doute un des derniers auquel penserait les hackers donc je ne suis pas inquiet...
Par contre, je ne suis pas d'accord qu(il faille évacuer la question en affirmant que "n'oublions pas que les personnes ici n'ont probablement pas d'info ultra-confidentielles à cacher."... Même si nous ne sommes pas des Snowden (même du dimanche) la question de la sécurité de nos données ne peut etre évacuée , même sur un site de MAO.
Et encore une fois, c'est un gars qui n'est pas d'un naturel inquiet qui vous le dit (ceci dit ça me fait penser que je vais quand même changer mon mot de passe moi!😉)

Personne ne dit qu'il faut évacuer la question, je dis même le contraire : ça serait bien que site puisse fournir le https pour l'inscription.
Cependant, je mets tout de même en perspective la problématique de la sécurité de nos données d’individus et des gros problèmes à ce niveau, par exemple https://www.lesnumeriques.com/societe-numerique/cybersecurite-26-milliards-de-donnees-personnelles-dans-la-nature-apres-une-fuite-massive-n217992.html et https://www.01net.com/actualites/la-cnil-valide-microsoft-comme-hebergeur-de-donnees-de-sante-des-francais-mais-avec-des-regrets.html .
Si quelqu'un croit que le problème de sécurité de nos données d'individus est le manque du s de https sur linuxmao, la première chose que je vais faire est de regarder si cette personne a un iOS ou un Android (non-dégooglisé) et vais tenter de lui faire comprendre l'échelle des choses.

Bonne nouvelle ici.
En faisant complètement autre chose (authentification des admins de linuxmao sur leurs comptes Mastodon), j'ai trouvé comme faire pour activer l'identification en https sur linuxmao.org . Voilà qui est donc fait. Vous pouvez tester.

Je mets un [RÉSOLU] dans le titre et fermerai ce fil lors d'un prochain passage de maintenance.

Maintenant que ce sujet est résolu grâce ce à l'intervention d'un administrateur, je viens poster ce message en tant que modérateur pour attirer votre attention sur le fait que personne n'a pris le temps de venir remercier notre dépanneur.

En tant qu'utilisateur et à titre personnel :

Merci olinuxx pour cette avancée.

ah ben merci alors Olinuxx !

j'étais passé à coté de cette info. Je vais tester le https