Page 1 sur 2
securise ou pas?
Posté : 28 déc. 2005, 11:21
par bali
sur un site marchant au moment de payer une page s'affiche ou je dois mettre les numeros de CB et date ect.... mais la page a pas de hpps,ni de cadena en bas... le responsable me dit que cest securise apres mon envoi..... est-il possible ca?je donne ma carte bleu et apres cest securisé, sur le site
http://www.rcv-team.com
Posté : 28 déc. 2005, 11:23
par pjl
Laisse tomber.
Ce n'est pas plus sécurisé qu'un coffre-fort dont on a laissé la porte ouverte.
Re: securise ou pas?
Posté : 28 déc. 2005, 13:45
par Cyrano
... le responsable me dit que cest securise apres mon envoi.....
Bien sur, après l'envoi, mais pendant l'envoi, ce n'est pas sécurisé du tout, donc les données transitent sur le réseau en clair.
Posté : 28 déc. 2005, 13:52
par naholyr
N'importe quel hacker peut scruter ce qui entre et sort d'un serveur web donné, celui de rcv-team compris.
Il peut donc voir des messages de ce genre parmi ceux qui circulent (ne me huez pas vous qui connaissez le protocole http, je simplifie ^^), au moment ou tu cliques sur "envoyer mes informations bancaires" :
GET /script.php
POST numerocb=054468463269594
POST dateperemption=0405
etc...
Et là il est content il a gagné une commande à 1'000 euros gratos (disons 200 pour être sûr, 10'000 si ta banque ne fait pas attention) sur n'importe quel site de vente en ligne.
ça te fait alors une belle jambe que ce soit sécurisé "après"...
Sauf que si c'était du https, voici ce qu'il verrait:
Ouij8J¨x1908jx?871JP°°9X872
IUH91782Y3P?dç_yaoà_"jàç9°8172
DS9Bè-&té_èg96E912
Et là c'est à lui que ça fait une belle jambe d'avoir ce genre d'infos.
Voilà clairement l'unique et indispensable intérêt de http
s : crypter la communication pour éviter le sniffing.
Pas d'https => pas de commande en ligne.
Posté : 28 déc. 2005, 13:55
par Ripat
Le certificat SSL n'appartient apparemment pas au domaine rcv-team-secure.com. Tu es redirigé vers un autre domaine. Méfiance!
La sécurité absolue est un PC sans souris, sans clavier et sans écran. Eteint, coulé dans un bloc de béton et jeté au fond de l'océan!
Posté : 28 déc. 2005, 22:38
par fab
puis perso avant d'utiliser mon code bancaire sur internet je préfère un site qui donne confiance cad un minimum de "pro". La quand on voit le site on se dit que c'est un jeune de 10 ans qui a utilisé dreamweaver
donc ça + pas de certificat j'irai jamais rien acheté sur ce site
Posté : 29 déc. 2005, 00:12
par alexbad
Le manque de professionnalisme le plus apparent: il tutoie les clients
Posté : 29 déc. 2005, 00:13
par fab
lol ! déjà quand c'est un prof ça m'énerve alors là si c'est quelqu'un avec qui j'ai une relation professionnelle c'est pire !
Posté : 29 déc. 2005, 12:48
par iclo
Pour moi, un payement sécurisé doit se faire via un module "pro" fournit par une institution bancaire ou par une société spécialisée. Il n'est pas question de refiller des données de cet ordre, au premier formulaire venu.
Pour avoir, eu des cours sur la sécurité sur internet, je peux vous garantir qu'il y a pas mal de moyen pour piquer les infos.
Posté : 29 déc. 2005, 13:05
par albat
Le principe d'un paiement sécurisé réside non seulement
dans l'utilisation d'un
protocole crypté (https avec une clé SSL)
mais aussi dans le fait que l'interlocuteur à qui seront transmises les données
(numéro de CB, validité, etc.) soit
agréé pour ce genre d'opérations.
L'interface de paiement doit donc être fournie par un établissement bancaire
et être "greffée" sur le site par le webmaster dudit site.
En aucun cas, ces informations confidentielles ne doivent transiter par le site du vendeur.
Le paiement sur ce site n'est donc pas sécurisé
et, dès lors qu'il indique le contraire, il y a tromperie. 
Il mérite donc largement d'être signalé à la DDCCRF
(Direction Départementale du Contrôle de la Concurrence et de la Répression des Fraudes)
Posté : 11 janv. 2006, 11:30
par heltem
N'importe quel hacker peut scruter ce qui entre et sort d'un serveur web donné, celui de rcv-team compris.
Il faut cependant que le fameux hacker dispose d'un moyen d'intercepter les paquet IP qui transitent entre la sortie du navigateur et l'arrivée sur le serveur Web destination, ce qui nécessite malgré tout des moyens techniques importants (accès à l'infrastructure du FAI du client, des routeurs d'Internet par lesquels vont transiter les paquets ou du serveur hébergeant le site Web)
Pour le reste du sujet, je suis du même avis: aucune sécurité possible sans SSL qui est un pré-réquis mais pas suffisant en effet.
Posté : 21 janv. 2006, 13:14
par korentin
Il mérite donc largement d'être signalé à la DDCCRF
(Direction Départementale du Contrôle de la Concurrence et de la Répression des Fraudes)
Faudrai peut etre prevenir le webmaster qu'il ferai plus d'argent avec un site securiser et plus pro, a moins que ce soit un oublie volontaire.
pas toujours
Posté : 31 janv. 2006, 21:10
par bighux
oui apparement ce site a l'air plutot d'arnaque que d'autre chose car il n'y a meme pas d'adresse postale.
Par contre en voulant passer une commande chez multe-pass.com lors du paiment par CB sous firefox 1.5 on voit nul part qu'on est en mode sécurisé :
screen de la page en apparence non sécurisé
Ce qui m'a surpris mais apparement le cadre intérieur était une page sécurisé mais pas le contour (la page de l'intérieur est bien https de la banque).
Je me suis apercu que quand on accéder au site par
multepass.com lors du paiment par CB sa faisait comme sur le screen, par contre en accédant à partir de
multe-pass.com la lors du paiment on arrivé sur une page sécurisé entièrement.
Je pense que les 2 sont sécurisées mais pour multepass.com faut le deviner apparement.
Posté : 31 janv. 2007, 12:56
par Theri
Il faut cependant que le fameux hacker dispose d'un moyen d'intercepter les paquet IP qui transitent entre la sortie du navigateur et l'arrivée sur le serveur Web destination, ce qui nécessite malgré tout des moyens techniques importants (accès à l'infrastructure du FAI du client, des routeurs d'Internet par lesquels vont transiter les paquets ou du serveur hébergeant le site Web)
Et en s'interposant entre les 2, style avec une solution de connexion type CPL ou Wifi ?
REPONSE DU WEB MASTER RCV TEAM
Posté : 26 juin 2007, 18:33
par MARC RICO
Messieurs
Avant d'affirmer des éléments aussi graves, il faudrait au minimum vérifier ses dires sinon cela s appelle de la diffamation. Bien sur je suppose que dans ces détracteurs nous devons avoir certains de nos confrères jaloux ne pouvant rivaliser ou nous atteindre par une concurrence loyale.
A toute fin utile, je vous précise le lien de notre site securisé par lequel vous pourrez vérifier aisément de la certification ssl ainsi que l'appartenance de celle-ci au nom de RCV TEAM.
[/url]
https://www.rcv-team-secure.com
Salutations
Marc Rico
http://www.rcv-team.com
