PHPfrance

la communauté d'entraide francophone dédiée au PHP

securise ou pas?

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : securise ou pas?

REPONSE SUR SECURISATION

par RICO MARC » 28 oct. 2007, 20:41

Bonjour Messieurs

La réponse tardive sur ce forum est simplement due au fait de la decouverte de ce sujet si tard.

Notre établissement existe depuis 22 ans et notre site internet depuis 6 ans. Nous sommes un des leaders de la vente par correspondance de pieces cyclo et moto en France. Depuis la création de notre site internet nous possèdons les justificatifs annuels des clès S.S.L valides (obligatoire en cas de controle quand on annonce une certification sur un site marchand)

Si un tel manque avait été réel, pensez bien que ceci nous aurait été signalé autrement que sur un forum mais par voie judiciaire

Notre notoriété se fait par la satisfaction de nos clients et ce sont finalement uniquement eux qui peuvent parler de notre service et sérieux.Pour nous cela reste le plus important.

Salutations

Marc Rico

par zeus » 26 juin 2007, 19:08

Bonjour,

Il est facile de revenir sur ce sujet plus d'un an et demi après.
Sachant que le certificat date du 17/11/2006, nous pouvons garder un doute sur son installation au moment du débat.

Toujours est-il que si le paiement est sécurisé ce jour, tant mieux pour vos client.

REPONSE DU WEB MASTER RCV TEAM

par MARC RICO » 26 juin 2007, 18:33

Messieurs

Avant d'affirmer des éléments aussi graves, il faudrait au minimum vérifier ses dires sinon cela s appelle de la diffamation. Bien sur je suppose que dans ces détracteurs nous devons avoir certains de nos confrères jaloux ne pouvant rivaliser ou nous atteindre par une concurrence loyale.

A toute fin utile, je vous précise le lien de notre site securisé par lequel vous pourrez vérifier aisément de la certification ssl ainsi que l'appartenance de celle-ci au nom de RCV TEAM.

[/url]https://www.rcv-team-secure.com

Salutations

Marc Rico
http://www.rcv-team.com

par Theri » 31 janv. 2007, 12:56

Il faut cependant que le fameux hacker dispose d'un moyen d'intercepter les paquet IP qui transitent entre la sortie du navigateur et l'arrivée sur le serveur Web destination, ce qui nécessite malgré tout des moyens techniques importants (accès à l'infrastructure du FAI du client, des routeurs d'Internet par lesquels vont transiter les paquets ou du serveur hébergeant le site Web)
Et en s'interposant entre les 2, style avec une solution de connexion type CPL ou Wifi ?

pas toujours

par bighux » 31 janv. 2006, 21:10

oui apparement ce site a l'air plutot d'arnaque que d'autre chose car il n'y a meme pas d'adresse postale.

Par contre en voulant passer une commande chez multe-pass.com lors du paiment par CB sous firefox 1.5 on voit nul part qu'on est en mode sécurisé :

screen de la page en apparence non sécurisé

Ce qui m'a surpris mais apparement le cadre intérieur était une page sécurisé mais pas le contour (la page de l'intérieur est bien https de la banque).
Je me suis apercu que quand on accéder au site par multepass.com lors du paiment par CB sa faisait comme sur le screen, par contre en accédant à partir de multe-pass.com la lors du paiment on arrivé sur une page sécurisé entièrement.
Je pense que les 2 sont sécurisées mais pour multepass.com faut le deviner apparement. :roll:

par korentin » 21 janv. 2006, 13:14

Il mérite donc largement d'être signalé à la DDCCRF
(Direction Départementale du Contrôle de la Concurrence et de la Répression des Fraudes)
Faudrai peut etre prevenir le webmaster qu'il ferai plus d'argent avec un site securiser et plus pro, a moins que ce soit un oublie volontaire.

par heltem » 11 janv. 2006, 11:30

N'importe quel hacker peut scruter ce qui entre et sort d'un serveur web donné, celui de rcv-team compris.
Il faut cependant que le fameux hacker dispose d'un moyen d'intercepter les paquet IP qui transitent entre la sortie du navigateur et l'arrivée sur le serveur Web destination, ce qui nécessite malgré tout des moyens techniques importants (accès à l'infrastructure du FAI du client, des routeurs d'Internet par lesquels vont transiter les paquets ou du serveur hébergeant le site Web)

Pour le reste du sujet, je suis du même avis: aucune sécurité possible sans SSL qui est un pré-réquis mais pas suffisant en effet.

par albat » 29 déc. 2005, 13:05

Le principe d'un paiement sécurisé réside non seulement
dans l'utilisation d'un protocole crypté (https avec une clé SSL)
mais aussi dans le fait que l'interlocuteur à qui seront transmises les données
(numéro de CB, validité, etc.) soit agréé pour ce genre d'opérations.

L'interface de paiement doit donc être fournie par un établissement bancaire
et être "greffée" sur le site par le webmaster dudit site.

En aucun cas, ces informations confidentielles ne doivent transiter par le site du vendeur.

Le paiement sur ce site n'est donc pas sécurisé
et, dès lors qu'il indique le contraire, il y a tromperie. :evil:

Il mérite donc largement d'être signalé à la DDCCRF
(Direction Départementale du Contrôle de la Concurrence et de la Répression des Fraudes)

par iclo » 29 déc. 2005, 12:48

Pour moi, un payement sécurisé doit se faire via un module "pro" fournit par une institution bancaire ou par une société spécialisée. Il n'est pas question de refiller des données de cet ordre, au premier formulaire venu.
Pour avoir, eu des cours sur la sécurité sur internet, je peux vous garantir qu'il y a pas mal de moyen pour piquer les infos.

par fab » 29 déc. 2005, 00:13

lol ! déjà quand c'est un prof ça m'énerve alors là si c'est quelqu'un avec qui j'ai une relation professionnelle c'est pire !

par alexbad » 29 déc. 2005, 00:12

Le manque de professionnalisme le plus apparent: il tutoie les clients :lol:

par fab » 28 déc. 2005, 22:38

puis perso avant d'utiliser mon code bancaire sur internet je préfère un site qui donne confiance cad un minimum de "pro". La quand on voit le site on se dit que c'est un jeune de 10 ans qui a utilisé dreamweaver
donc ça + pas de certificat j'irai jamais rien acheté sur ce site

par Ripat » 28 déc. 2005, 13:55

Le certificat SSL n'appartient apparemment pas au domaine rcv-team-secure.com. Tu es redirigé vers un autre domaine. Méfiance!


La sécurité absolue est un PC sans souris, sans clavier et sans écran. Eteint, coulé dans un bloc de béton et jeté au fond de l'océan!

par naholyr » 28 déc. 2005, 13:52

N'importe quel hacker peut scruter ce qui entre et sort d'un serveur web donné, celui de rcv-team compris.
Il peut donc voir des messages de ce genre parmi ceux qui circulent (ne me huez pas vous qui connaissez le protocole http, je simplifie ^^), au moment ou tu cliques sur "envoyer mes informations bancaires" :
GET /script.php
POST numerocb=054468463269594
POST dateperemption=0405
etc...
Et là il est content il a gagné une commande à 1'000 euros gratos (disons 200 pour être sûr, 10'000 si ta banque ne fait pas attention) sur n'importe quel site de vente en ligne.
ça te fait alors une belle jambe que ce soit sécurisé "après"...

Sauf que si c'était du https, voici ce qu'il verrait:
Ouij8J¨x1908jx?871JP°°9X872
IUH91782Y3P?dç_yaoà_"jàç9°8172
DS9Bè-&té_èg96E912
Et là c'est à lui que ça fait une belle jambe d'avoir ce genre d'infos.

Voilà clairement l'unique et indispensable intérêt de https : crypter la communication pour éviter le sniffing.

Pas d'https => pas de commande en ligne.

Re: securise ou pas?

par Cyrano » 28 déc. 2005, 13:45

... le responsable me dit que cest securise apres mon envoi.....
Bien sur, après l'envoi, mais pendant l'envoi, ce n'est pas sécurisé du tout, donc les données transitent sur le réseau en clair.