la communauté d'entraide francophone dédiée au PHP
securise ou pas?
bali
Invité n'ayant pas de compte PHPfrance
sur un site marchant au moment de payer une page s'affiche ou je dois mettre les numeros de CB et date ect.... mais la page a pas de hpps,ni de cadena en bas... le responsable me dit que cest securise apres mon envoi..... est-il possible ca?je donne ma carte bleu et apres cest securisé, sur le site http://www.rcv-team.com
Bien sur, après l'envoi, mais pendant l'envoi, ce n'est pas sécurisé du tout, donc les données transitent sur le réseau en clair.... le responsable me dit que cest securise apres mon envoi.....
Codez en pensant que celui qui maintiendra votre code est un psychopathe qui connait votre adresse 
N'importe quel hacker peut scruter ce qui entre et sort d'un serveur web donné, celui de rcv-team compris.
Il peut donc voir des messages de ce genre parmi ceux qui circulent (ne me huez pas vous qui connaissez le protocole http, je simplifie ^^), au moment ou tu cliques sur "envoyer mes informations bancaires" :
ça te fait alors une belle jambe que ce soit sécurisé "après"...
Sauf que si c'était du https, voici ce qu'il verrait:
Voilà clairement l'unique et indispensable intérêt de https : crypter la communication pour éviter le sniffing.
Pas d'https => pas de commande en ligne.
Il peut donc voir des messages de ce genre parmi ceux qui circulent (ne me huez pas vous qui connaissez le protocole http, je simplifie ^^), au moment ou tu cliques sur "envoyer mes informations bancaires" :
Et là il est content il a gagné une commande à 1'000 euros gratos (disons 200 pour être sûr, 10'000 si ta banque ne fait pas attention) sur n'importe quel site de vente en ligne.GET /script.php
POST numerocb=054468463269594
POST dateperemption=0405
etc...
ça te fait alors une belle jambe que ce soit sécurisé "après"...
Sauf que si c'était du https, voici ce qu'il verrait:
Et là c'est à lui que ça fait une belle jambe d'avoir ce genre d'infos.Ouij8J¨x1908jx?871JP°°9X872
IUH91782Y3P?dç_yaoà_"jàç9°8172
DS9Bè-&té_èg96E912
Voilà clairement l'unique et indispensable intérêt de https : crypter la communication pour éviter le sniffing.
Pas d'https => pas de commande en ligne.
puis perso avant d'utiliser mon code bancaire sur internet je préfère un site qui donne confiance cad un minimum de "pro". La quand on voit le site on se dit que c'est un jeune de 10 ans qui a utilisé dreamweaver
donc ça + pas de certificat j'irai jamais rien acheté sur ce site
donc ça + pas de certificat j'irai jamais rien acheté sur ce site
Seul l'intelligent a le pouvoir de se trouver con
try { work(); } catch(FlemmeExeption $e) { sleep(84600); }
try { work(); } catch(FlemmeExeption $e) { sleep(84600); }
Pour moi, un payement sécurisé doit se faire via un module "pro" fournit par une institution bancaire ou par une société spécialisée. Il n'est pas question de refiller des données de cet ordre, au premier formulaire venu.
Pour avoir, eu des cours sur la sécurité sur internet, je peux vous garantir qu'il y a pas mal de moyen pour piquer les infos.
Pour avoir, eu des cours sur la sécurité sur internet, je peux vous garantir qu'il y a pas mal de moyen pour piquer les infos.
Le principe d'un paiement sécurisé réside non seulement
dans l'utilisation d'un protocole crypté (https avec une clé SSL)
mais aussi dans le fait que l'interlocuteur à qui seront transmises les données
(numéro de CB, validité, etc.) soit agréé pour ce genre d'opérations.
L'interface de paiement doit donc être fournie par un établissement bancaire
et être "greffée" sur le site par le webmaster dudit site.
En aucun cas, ces informations confidentielles ne doivent transiter par le site du vendeur.
Le paiement sur ce site n'est donc pas sécurisé
et, dès lors qu'il indique le contraire, il y a tromperie.
Il mérite donc largement d'être signalé à la DDCCRF
(Direction Départementale du Contrôle de la Concurrence et de la Répression des Fraudes)
dans l'utilisation d'un protocole crypté (https avec une clé SSL)
mais aussi dans le fait que l'interlocuteur à qui seront transmises les données
(numéro de CB, validité, etc.) soit agréé pour ce genre d'opérations.
L'interface de paiement doit donc être fournie par un établissement bancaire
et être "greffée" sur le site par le webmaster dudit site.
En aucun cas, ces informations confidentielles ne doivent transiter par le site du vendeur.
Le paiement sur ce site n'est donc pas sécurisé
et, dès lors qu'il indique le contraire, il y a tromperie.
Il mérite donc largement d'être signalé à la DDCCRF
(Direction Départementale du Contrôle de la Concurrence et de la Répression des Fraudes)
heltem
Invité n'ayant pas de compte PHPfrance
Il faut cependant que le fameux hacker dispose d'un moyen d'intercepter les paquet IP qui transitent entre la sortie du navigateur et l'arrivée sur le serveur Web destination, ce qui nécessite malgré tout des moyens techniques importants (accès à l'infrastructure du FAI du client, des routeurs d'Internet par lesquels vont transiter les paquets ou du serveur hébergeant le site Web)N'importe quel hacker peut scruter ce qui entre et sort d'un serveur web donné, celui de rcv-team compris.
Pour le reste du sujet, je suis du même avis: aucune sécurité possible sans SSL qui est un pré-réquis mais pas suffisant en effet.
Faudrai peut etre prevenir le webmaster qu'il ferai plus d'argent avec un site securiser et plus pro, a moins que ce soit un oublie volontaire.Il mérite donc largement d'être signalé à la DDCCRF
(Direction Départementale du Contrôle de la Concurrence et de la Répression des Fraudes)
bighux
Invité n'ayant pas de compte PHPfrance
oui apparement ce site a l'air plutot d'arnaque que d'autre chose car il n'y a meme pas d'adresse postale.
Par contre en voulant passer une commande chez multe-pass.com lors du paiment par CB sous firefox 1.5 on voit nul part qu'on est en mode sécurisé :
screen de la page en apparence non sécurisé
Ce qui m'a surpris mais apparement le cadre intérieur était une page sécurisé mais pas le contour (la page de l'intérieur est bien https de la banque).
Je me suis apercu que quand on accéder au site par multepass.com lors du paiment par CB sa faisait comme sur le screen, par contre en accédant à partir de multe-pass.com la lors du paiment on arrivé sur une page sécurisé entièrement.
Je pense que les 2 sont sécurisées mais pour multepass.com faut le deviner apparement.
Par contre en voulant passer une commande chez multe-pass.com lors du paiment par CB sous firefox 1.5 on voit nul part qu'on est en mode sécurisé :
screen de la page en apparence non sécurisé
Ce qui m'a surpris mais apparement le cadre intérieur était une page sécurisé mais pas le contour (la page de l'intérieur est bien https de la banque).
Je me suis apercu que quand on accéder au site par multepass.com lors du paiment par CB sa faisait comme sur le screen, par contre en accédant à partir de multe-pass.com la lors du paiment on arrivé sur une page sécurisé entièrement.
Je pense que les 2 sont sécurisées mais pour multepass.com faut le deviner apparement.
Theri
Invité n'ayant pas de compte PHPfrance
Et en s'interposant entre les 2, style avec une solution de connexion type CPL ou Wifi ?Il faut cependant que le fameux hacker dispose d'un moyen d'intercepter les paquet IP qui transitent entre la sortie du navigateur et l'arrivée sur le serveur Web destination, ce qui nécessite malgré tout des moyens techniques importants (accès à l'infrastructure du FAI du client, des routeurs d'Internet par lesquels vont transiter les paquets ou du serveur hébergeant le site Web)
MARC RICO
Invité n'ayant pas de compte PHPfrance
Messieurs
Avant d'affirmer des éléments aussi graves, il faudrait au minimum vérifier ses dires sinon cela s appelle de la diffamation. Bien sur je suppose que dans ces détracteurs nous devons avoir certains de nos confrères jaloux ne pouvant rivaliser ou nous atteindre par une concurrence loyale.
A toute fin utile, je vous précise le lien de notre site securisé par lequel vous pourrez vérifier aisément de la certification ssl ainsi que l'appartenance de celle-ci au nom de RCV TEAM.
[/url]https://www.rcv-team-secure.com
Salutations
Marc Rico
http://www.rcv-team.com
Avant d'affirmer des éléments aussi graves, il faudrait au minimum vérifier ses dires sinon cela s appelle de la diffamation. Bien sur je suppose que dans ces détracteurs nous devons avoir certains de nos confrères jaloux ne pouvant rivaliser ou nous atteindre par une concurrence loyale.
A toute fin utile, je vous précise le lien de notre site securisé par lequel vous pourrez vérifier aisément de la certification ssl ainsi que l'appartenance de celle-ci au nom de RCV TEAM.
[/url]https://www.rcv-team-secure.com
Salutations
Marc Rico
http://www.rcv-team.com