Http->Https, transmission sécurisée ou non ?
Http->Https, transmission sécurisée ou non ? - Divers - Programmation
Marsh Posté le 24-01-2006 à 15:35:26
Oui, la connection HTTPS doit être négociée sur la première page, dans le cas que tu présentes les données (login & mdp) transiteront en clair et non par une connection HTTPS puisque la dite connection HTTPS n'existe pas au moment où le formulaire est envoyé au serveur ![[:pingouino]](https://forum-images.hardware.fr/images/perso/pingouino.gif "[:pingouino]")
voir plus bas
Message édité par masklinn le 24-01-2006 à 16:58:08
---------------
I mean, true, a cancer will probably destroy its host organism. But what about the cells whose mutations allow them to think outside the box by throwing away the limits imposed by overbearing genetic regulations? Isn't that a good thing?
Marsh Posté le 24-01-2006 à 15:37:16
Alors là, je me serais fait avoir comme un bleu si j'avais eu à faire ça avant de lire ta réponse.
Message édité par omega2 le 24-01-2006 à 15:37:35
Marsh Posté le 24-01-2006 à 15:40:21
Merci Masklinn, je vais pouvoir faire chier le webmaster de la banque 
Marsh Posté le 24-01-2006 à 15:44:38
| omega2 a écrit : Alors là, je me serais fait avoir comme un bleu si j'avais eu à faire ça avant de lire ta réponse. |
Ben ça me semble logique, le mot de passe et le login font partie des informations contenues dans la requête pour afficher la page login.php
Donc le flux va être un truc du genre
Après je suis pas sûr à 100%, mais pas loin. Le plus simple serait de lancer un packet sniffer (Ethereal, ou même simplement LiveHTTPRequest, ça doit suffir) et de regarder ce qui transite aux différentes phases du login
voir plus bas
Message édité par masklinn le 24-01-2006 à 16:58:57
---------------
I mean, true, a cancer will probably destroy its host organism. But what about the cells whose mutations allow them to think outside the box by throwing away the limits imposed by overbearing genetic regulations? Isn't that a good thing?
Marsh Posté le 24-01-2006 à 15:49:03
Un petit bemol tout de même.
Il est possible de créer un script qui envoi les informations login/mot de passe en https alors que la page de connexion est en http.
Vérifie le code source de la page. Si tu trouve qq chose de la forme :
<form method="post" action="https:// ....
C'est que c'est crypté ! (heureuse nouvelle non ?)
A+
Marsh Posté le 24-01-2006 à 15:54:30
| m3z a écrit : Un petit bemol tout de même. |
Je demande une preuve que ce genre de trucs fonctionne justement, file une page d'exemple qu'on en fasse la trace
---------------
I mean, true, a cancer will probably destroy its host organism. But what about the cells whose mutations allow them to think outside the box by throwing away the limits imposed by overbearing genetic regulations? Isn't that a good thing?
Marsh Posté le 24-01-2006 à 16:21:54
Reply
Marsh Posté le 24-01-2006 à 17:01:18
Ok, après avoir passé 10mn à jouer avec Ethereal j'annonce que je me plantais et que tu as effectivement raison (comme quoi faut bel et bien toujours tester), toutes les communications avec le serveur vérifiant le numéro de compte et le MDP (wwws.prosodie.com) semblent bien passer par SSL, quand bien même la page d'origine n'est pas accédée via HTTPS 
Message édité par masklinn le 24-01-2006 à 17:02:40
---------------
I mean, true, a cancer will probably destroy its host organism. But what about the cells whose mutations allow them to think outside the box by throwing away the limits imposed by overbearing genetic regulations? Isn't that a good thing?
Sujets relatifs:
- Transmission de flux video en C#
- L'authentification HTTP : comment ça marche exactement ?
- [HTTP] Ensemble des paramètres envoyés de pages en pages
- Connection sécurisée?
- PROBLEME -> Bouton + Click + Popup et transmission de contenu
- récupérer le code source page Web https..(dhtml, javascript) avec vba?
- Soap et https
- [RESOLU] Transmission de variable entre deux pages PHP ?
- HTTP Digest: pb avec Internet Explorer
- [Servlets] Redirection HTTP
Marsh Posté le 24-01-2006 à 15:15:42
BOnjour,
Voici la petite question technique :
Si je fait un formulaire à l'adresse : http://www.monsite.com/form.php, qui demande login et mot de passe transmis par méthode post.
Ce formulaire appelle la page : https://www.monsite.com/login.php
Le login et mdp de la premiere page passent-ils en clair sur mon réseau ?
Merci bcp.