Discussion :

[akecoocoo]

Bonjour,

J'ai lu ça dans la doc d'un outil tiers :

"-Dans la page qui contient le formulaire nous vous conseillons d’expliquer que l’envoi de l’identifiant et du mot de passe se fait via le protocole sécurisé SSL (Https://) même si la page du formulaire n’est pas protégée (http://). "

Grosso modo, si je créé une page sur mon site perso (par exemple un site perso sur free), contenant le formulaire suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<form action="https&#58;\\leformulairedidentificationdelaabnp">
  <input login>
  <input mdp>
</form>

le mot de passe que j'envoie (et le login associé) ne peuvent être capté par l'oeuvre malicieuse d'un pirate démoniaque ?

je n'y connais rien en http1.1, mais ça me surprend, est ce que le navigateur fait auparavant une demande au serveur securisé pour obtenir une clé de cryptage ? puis renvoie son petit paquet comme si de rien n'était ?

si vous allez sur bnp.fr, vous pouvez voir que la manière de s'authentifier est longue, fastidieuse, que le site en lui même est en https, est ce que tout ce tralala ne sert en fait qu'à rassurer les clients de la banque ?

ps : non je n'essaye pas de faire du phishing ![/code]

[Celelibi]

Les données envoyés ne seront chiffrés que si l'adresse à laquel elles sont envoyés commence par https.

autrement dit, tu peux avoir un dans la barre d'adresse de ton navigateur un jolie https et un cadenas dans le coin en bas à droite, si l'action du formulaire ne pointe pas vers une page sécurisé, alors les données seront transmises en claire.
L'inverse est aussi vrai.
Tout ce qui compte c'est l'adresse à laquelle les données sont envoyées.

je n'y connais rien en http1.1, mais ça me surprend, est ce que le navigateur fait auparavant une demande au serveur securisé pour obtenir une clé de cryptage ? puis renvoie son petit paquet comme si de rien n'était ?

Le chiffrement n'est pas fait au niveau du protocole http, mais à un nieau juste en dessous. La requête http et la réponse du serveur transitent dans ce qu'on pourrait appeller un tunnel chiffré.

Tchniquement, lorsque tu veux télécharger une page sécurisée (avec ou non envoie de données) le navigateur commence par établire une connexion ssl, puis il envoie la requête et récupère le résultat comme ni de rien n'était.
Et bien entendu tout ce qui transite par ce tunnel sera chiffré.