securite paiement en ligne facture France Telecom ??
7 réponses
Emmanuel Besses
Bonjour à tous.
J'ai voulu régler ma facture de téléphone par paiement en ligne. Bon :
ouverture espace client FT rubrique "régler sa facture" et hop page de
saisie du numéro de CB. Et la surprise : aucun certificat de sécurité
identifié par le navigateur (IE6). Donc si je comprends bien mon numéro de
CB sera envoyé en clair sur le réseau ?? Ou alors y a quelque chose qui
m'échappe...
Du coup je n'ai pas effectué le paiement. J'ai envoyé un mail à FT pour leur
demander les garanties qu'ils donnaient vis à vis du paiement en ligne. En
attendant leur réponse j'aimerai avoir votre avis sur la question.
Merci d'avance pour vos réponses.
Cordialement,
--
Manu
(Supprimer le NOSPAM pour me répondre)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Thomas Pedoussaut
Emmanuel Besses wrote:
Bonjour à tous.
J'ai voulu régler ma facture de téléphone par paiement en ligne. Bon : ouverture espace client FT rubrique "régler sa facture" et hop page de saisie du numéro de CB. Et la surprise : aucun certificat de sécurité identifié par le navigateur (IE6). Donc si je comprends bien mon numéro de CB sera envoyé en clair sur le réseau ?? Ou alors y a quelque chose qui m'échappe...
[Je ne connais pas ce site, je suis chez eircom mainetnant]
Ce qu'il faut c'est que la page qui recoit ton no de carte bleue soit en SSL, pas forcement celle ou tu saisit tes données. Ca parrait bizarre, mais ton no de CB ne sort de ton ordionateur que lorsqu'il y a la connection pour la page de reception du formulaire. Tu peux essayer avec un No de CB bidon, pour verifier que la page de resultat est bien cryptée.
PS: evidemment, la pluspart des sites mettent aussi la page de saisie en SSL, ca rassure l'internaute, mais techniquement ca sert a rien. On pourrait aussi imaginer le contraire, mais la, je crois que (tous ?) les navigateurs affichent un gros warning (vous envoyez des données securisées vers un serveur non securisé ou qqc du genre)
Mes 2 cts -- Thomas Pedoussaut Dublin IRLANDE http://irlande.staffeurs.org/
Emmanuel Besses wrote:
Bonjour à tous.
J'ai voulu régler ma facture de téléphone par paiement en ligne. Bon :
ouverture espace client FT rubrique "régler sa facture" et hop page de
saisie du numéro de CB. Et la surprise : aucun certificat de sécurité
identifié par le navigateur (IE6). Donc si je comprends bien mon numéro de
CB sera envoyé en clair sur le réseau ?? Ou alors y a quelque chose qui
m'échappe...
[Je ne connais pas ce site, je suis chez eircom mainetnant]
Ce qu'il faut c'est que la page qui recoit ton no de carte bleue soit en
SSL, pas forcement celle ou tu saisit tes données. Ca parrait bizarre,
mais ton no de CB ne sort de ton ordionateur que lorsqu'il y a la
connection pour la page de reception du formulaire.
Tu peux essayer avec un No de CB bidon, pour verifier que la page de
resultat est bien cryptée.
PS: evidemment, la pluspart des sites mettent aussi la page de saisie en
SSL, ca rassure l'internaute, mais techniquement ca sert a rien.
On pourrait aussi imaginer le contraire, mais la, je crois que (tous ?)
les navigateurs affichent un gros warning (vous envoyez des données
securisées vers un serveur non securisé ou qqc du genre)
Mes 2 cts
--
Thomas Pedoussaut
Dublin IRLANDE
http://irlande.staffeurs.org/
J'ai voulu régler ma facture de téléphone par paiement en ligne. Bon : ouverture espace client FT rubrique "régler sa facture" et hop page de saisie du numéro de CB. Et la surprise : aucun certificat de sécurité identifié par le navigateur (IE6). Donc si je comprends bien mon numéro de CB sera envoyé en clair sur le réseau ?? Ou alors y a quelque chose qui m'échappe...
[Je ne connais pas ce site, je suis chez eircom mainetnant]
Ce qu'il faut c'est que la page qui recoit ton no de carte bleue soit en SSL, pas forcement celle ou tu saisit tes données. Ca parrait bizarre, mais ton no de CB ne sort de ton ordionateur que lorsqu'il y a la connection pour la page de reception du formulaire. Tu peux essayer avec un No de CB bidon, pour verifier que la page de resultat est bien cryptée.
PS: evidemment, la pluspart des sites mettent aussi la page de saisie en SSL, ca rassure l'internaute, mais techniquement ca sert a rien. On pourrait aussi imaginer le contraire, mais la, je crois que (tous ?) les navigateurs affichent un gros warning (vous envoyez des données securisées vers un serveur non securisé ou qqc du genre)
Mes 2 cts -- Thomas Pedoussaut Dublin IRLANDE http://irlande.staffeurs.org/
Nicolas GIMMILLARO
Emmanuel Besses wrote:
Bonjour à tous.
J'ai voulu régler ma facture de téléphone par paiement en ligne. Bon : ouverture espace client FT rubrique "régler sa facture" et hop page de saisie du numéro de CB. Et la surprise : aucun certificat de sécurité identifié par le navigateur (IE6). Donc si je comprends bien mon numéro de CB sera envoyé en clair sur le réseau ?? Ou alors y a quelque chose qui m'échappe...
Du coup je n'ai pas effectué le paiement. J'ai envoyé un mail à FT pour leur demander les garanties qu'ils donnaient vis à vis du paiement en ligne. En attendant leur réponse j'aimerai avoir votre avis sur la question.
Merci d'avance pour vos réponses.
Cordialement,
Une piste : il arrive parfois que la page qui contient le formulaire ne soit pas en HTTPS mais simplement en HTTP.
Par contre, au moment de valider le fomulaire, on passe en HTTPS. On peut le vérifier en regardant le tag <FORM ...> dans la source de la page. Si le paramètre action="..." commence par https:// c'est le cas ... sinon ... on peut se poser des questions.
Si la validation du formulaire fait appel à un ensemble plus ou moins compliqué de javascript, il se peut que ce soit plus compliqué pour identifier le mode (http ou https) d'envoi des données du formulaire.
Nicolas
Emmanuel Besses wrote:
Bonjour à tous.
J'ai voulu régler ma facture de téléphone par paiement en ligne. Bon :
ouverture espace client FT rubrique "régler sa facture" et hop page de
saisie du numéro de CB. Et la surprise : aucun certificat de sécurité
identifié par le navigateur (IE6). Donc si je comprends bien mon numéro de
CB sera envoyé en clair sur le réseau ?? Ou alors y a quelque chose qui
m'échappe...
Du coup je n'ai pas effectué le paiement. J'ai envoyé un mail à FT pour leur
demander les garanties qu'ils donnaient vis à vis du paiement en ligne. En
attendant leur réponse j'aimerai avoir votre avis sur la question.
Merci d'avance pour vos réponses.
Cordialement,
Une piste : il arrive parfois que la page qui contient le formulaire ne
soit pas en HTTPS mais simplement en HTTP.
Par contre, au moment de valider le fomulaire, on passe en HTTPS. On
peut le vérifier en regardant le tag <FORM ...> dans la source de la
page. Si le paramètre action="..." commence par https:// c'est le cas
... sinon ... on peut se poser des questions.
Si la validation du formulaire fait appel à un ensemble plus ou moins
compliqué de javascript, il se peut que ce soit plus compliqué pour
identifier le mode (http ou https) d'envoi des données du formulaire.
J'ai voulu régler ma facture de téléphone par paiement en ligne. Bon : ouverture espace client FT rubrique "régler sa facture" et hop page de saisie du numéro de CB. Et la surprise : aucun certificat de sécurité identifié par le navigateur (IE6). Donc si je comprends bien mon numéro de CB sera envoyé en clair sur le réseau ?? Ou alors y a quelque chose qui m'échappe...
Du coup je n'ai pas effectué le paiement. J'ai envoyé un mail à FT pour leur demander les garanties qu'ils donnaient vis à vis du paiement en ligne. En attendant leur réponse j'aimerai avoir votre avis sur la question.
Merci d'avance pour vos réponses.
Cordialement,
Une piste : il arrive parfois que la page qui contient le formulaire ne soit pas en HTTPS mais simplement en HTTP.
Par contre, au moment de valider le fomulaire, on passe en HTTPS. On peut le vérifier en regardant le tag <FORM ...> dans la source de la page. Si le paramètre action="..." commence par https:// c'est le cas ... sinon ... on peut se poser des questions.
Si la validation du formulaire fait appel à un ensemble plus ou moins compliqué de javascript, il se peut que ce soit plus compliqué pour identifier le mode (http ou https) d'envoi des données du formulaire.
Nicolas
T0t0
"Emmanuel Besses" wrote in message news:400a80c2$0$7132$
Et la surprise : aucun certificat de sécurité identifié par le navigateur (IE6). Donc si je comprends bien mon numéro de CB sera envoyé en clair sur le réseau ?? Ou alors y a quelque chose qui m'échappe...
A mon avis, il y a quelque chose qui t'échappe. Il se peut que l'ensemble de la page ne soit pas en https ce qui fait que tu n'as pas le petit cadenas en bas, et que tu n'as pas eu de boite d'alerte. Ou que l'envoi des infos soit chiffré alors que la page ne l'est pas. Tu peux regarder la source de la page pour être sûr, ou cliquer droit sur la zone incriminée et regarder les propriétés. Si c'est du https, tu auras accès au certificat.
Du coup je n'ai pas effectué le paiement.
Bon reflexe.
J'ai envoyé un mail à FT pour leur demander les garanties qu'ils donnaient vis à vis du paiement en ligne. En attendant leur réponse j'aimerai avoir votre avis sur la question.
Mon avis est de bien regarder la source de la page et de les alerter si il s'avère que c'est vraiment du HTTP. Mais ca m'étonnerait quand même beaucoup.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Emmanuel Besses" <emmanuel.besses@freeNOSPAM.fr> wrote in message
news:400a80c2$0$7132$626a54ce@news.free.fr
Et la surprise : aucun certificat de sécurité
identifié par le navigateur (IE6). Donc si je comprends bien mon numéro de
CB sera envoyé en clair sur le réseau ?? Ou alors y a quelque chose qui
m'échappe...
A mon avis, il y a quelque chose qui t'échappe.
Il se peut que l'ensemble de la page ne soit pas en https ce qui fait
que tu n'as pas le petit cadenas en bas, et que tu n'as pas eu de boite
d'alerte. Ou que l'envoi des infos soit chiffré alors que la page ne
l'est pas.
Tu peux regarder la source de la page pour être sûr, ou cliquer droit
sur la zone incriminée et regarder les propriétés. Si c'est du https,
tu auras accès au certificat.
Du coup je n'ai pas effectué le paiement.
Bon reflexe.
J'ai envoyé un mail à FT pour leur
demander les garanties qu'ils donnaient vis à vis du paiement en ligne. En
attendant leur réponse j'aimerai avoir votre avis sur la question.
Mon avis est de bien regarder la source de la page et de les alerter
si il s'avère que c'est vraiment du HTTP. Mais ca m'étonnerait quand
même beaucoup.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Emmanuel Besses" wrote in message news:400a80c2$0$7132$
Et la surprise : aucun certificat de sécurité identifié par le navigateur (IE6). Donc si je comprends bien mon numéro de CB sera envoyé en clair sur le réseau ?? Ou alors y a quelque chose qui m'échappe...
A mon avis, il y a quelque chose qui t'échappe. Il se peut que l'ensemble de la page ne soit pas en https ce qui fait que tu n'as pas le petit cadenas en bas, et que tu n'as pas eu de boite d'alerte. Ou que l'envoi des infos soit chiffré alors que la page ne l'est pas. Tu peux regarder la source de la page pour être sûr, ou cliquer droit sur la zone incriminée et regarder les propriétés. Si c'est du https, tu auras accès au certificat.
Du coup je n'ai pas effectué le paiement.
Bon reflexe.
J'ai envoyé un mail à FT pour leur demander les garanties qu'ils donnaient vis à vis du paiement en ligne. En attendant leur réponse j'aimerai avoir votre avis sur la question.
Mon avis est de bien regarder la source de la page et de les alerter si il s'avère que c'est vraiment du HTTP. Mais ca m'étonnerait quand même beaucoup.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Emmanuel Besses
"Thomas Pedoussaut" a écrit dans le message de news:400bc37b$0$28683$
Ce qu'il faut c'est que la page qui recoit ton no de carte bleue soit en SSL, pas forcement celle ou tu saisit tes données. Ca parrait bizarre, mais ton no de CB ne sort de ton ordionateur que lorsqu'il y a la connection pour la page de reception du formulaire. Tu peux essayer avec un No de CB bidon, pour verifier que la page de resultat est bien cryptée.
Oui j'ai bien pensé à un truc de ce goût là et j'ai fait la manip avec un n°bidon. J'ai abouti à une belle page avec "N° CB invalide" ... mais toujours non-sécurisée ! Aucun avertissement de sécurité du navigateur pendant la phase de vérification du n° de CB. J'ai essayé d'éditer la page de saisie du numéro de CB mais comme le redoutait Nicolas (post plus loin) beaucoup de javascript donc impossible de retrouver un appel éventuel HTTPS.
Cordialement, -- Manu (Supprimer le NOSPAM pour me répondre)
"Thomas Pedoussaut" <thomas@parinux.org> a écrit dans le message de
news:400bc37b$0$28683$626a54ce@news.free.fr...
Ce qu'il faut c'est que la page qui recoit ton no de carte bleue soit en
SSL, pas forcement celle ou tu saisit tes données. Ca parrait bizarre,
mais ton no de CB ne sort de ton ordionateur que lorsqu'il y a la
connection pour la page de reception du formulaire.
Tu peux essayer avec un No de CB bidon, pour verifier que la page de
resultat est bien cryptée.
Oui j'ai bien pensé à un truc de ce goût là et j'ai fait la manip avec un
n°bidon. J'ai abouti à une belle page avec "N° CB invalide" ... mais
toujours non-sécurisée ! Aucun avertissement de sécurité du navigateur
pendant la phase de vérification du n° de CB.
J'ai essayé d'éditer la page de saisie du numéro de CB mais comme le
redoutait Nicolas (post plus loin) beaucoup de javascript donc impossible de
retrouver un appel éventuel HTTPS.
Cordialement,
--
Manu
(Supprimer le NOSPAM pour me répondre)
"Thomas Pedoussaut" a écrit dans le message de news:400bc37b$0$28683$
Ce qu'il faut c'est que la page qui recoit ton no de carte bleue soit en SSL, pas forcement celle ou tu saisit tes données. Ca parrait bizarre, mais ton no de CB ne sort de ton ordionateur que lorsqu'il y a la connection pour la page de reception du formulaire. Tu peux essayer avec un No de CB bidon, pour verifier que la page de resultat est bien cryptée.
Oui j'ai bien pensé à un truc de ce goût là et j'ai fait la manip avec un n°bidon. J'ai abouti à une belle page avec "N° CB invalide" ... mais toujours non-sécurisée ! Aucun avertissement de sécurité du navigateur pendant la phase de vérification du n° de CB. J'ai essayé d'éditer la page de saisie du numéro de CB mais comme le redoutait Nicolas (post plus loin) beaucoup de javascript donc impossible de retrouver un appel éventuel HTTPS.
Cordialement, -- Manu (Supprimer le NOSPAM pour me répondre)
Jceel
Bonjour ...Emmanuel Besses qui nous as a dit
* Bonjour à tous. * * J'ai voulu régler ma facture de téléphone par paiement en ligne. Bon : * ouverture espace client FT rubrique "régler sa facture" et hop page de * saisie du numéro de CB. Et la surprise : aucun certificat de sécurité * identifié par le navigateur (IE6).
regarde si cete option est bien cochée dans options internet-avancé -- @++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E internaute indécis pour le HacheuTeuMeuLeu seul le click droit Control+F deux la lumière t'apportera C'est ce qu'il y a de mieux netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp Jceel http://jceel.free.fr l'hyper du gratuit du net Founding Chairman of the International Pebkac Busters Company
Bonjour ...Emmanuel Besses qui nous as a dit
* Bonjour à tous.
*
* J'ai voulu régler ma facture de téléphone par paiement en ligne.
Bon :
* ouverture espace client FT rubrique "régler sa facture" et hop page
de
* saisie du numéro de CB. Et la surprise : aucun certificat de
sécurité
* identifié par le navigateur (IE6).
regarde si cete option est bien cochée dans options internet-avancé
--
@++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company
* Bonjour à tous. * * J'ai voulu régler ma facture de téléphone par paiement en ligne. Bon : * ouverture espace client FT rubrique "régler sa facture" et hop page de * saisie du numéro de CB. Et la surprise : aucun certificat de sécurité * identifié par le navigateur (IE6).
regarde si cete option est bien cochée dans options internet-avancé -- @++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E internaute indécis pour le HacheuTeuMeuLeu seul le click droit Control+F deux la lumière t'apportera C'est ce qu'il y a de mieux netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp Jceel http://jceel.free.fr l'hyper du gratuit du net Founding Chairman of the International Pebkac Busters Company
Emmanuel Besses
Pour ceux que cela intéresse ci-joint la réponse de FT à mon mail :
" Dans l'espace client, votre clé personnelle et votre mot de passe sont transmis avec le protocole sécurisé https.
Nous n'envisageons pas de mettre tout l'espace client sous ce protocole sécurisé, qui est pénalisant pour les temps de réponse et de chargement des pages : nous souhaitons avoir un service rapide et performant pour tous nos clients, y compris les clients qui accèdent en bas débit à Internet. Pour ces raisons, nous prévoyons de limiter l'utilisation de ce protocole sécurisé à la saisie des identifiants et mots de passe ainsi qu'à l'ensemble des transactions de paiement en ligne, ce qui n'a pas d'incidence sur la performance du service.
Dans l'espace client, l'ensemble des transactions de paiement en ligne est sécurisé. Il est possible que le cadenas de sécurisation ne s'affiche pas en raison de l'utilisation de frame sur le site.
Vous pouvez le vérifier en cliquant sur le clic droit de votre souris, lorsque vous vous trouvez sur la page de paiement et en choisissant la fonctionnalité "propriétés". Vous verrez alors que le protocole utilisé est en https (sécurisé) et vous pouvez connaître le protocole de cryptage utilisé (SSL).
Par ailleurs, le service auquel vous avez accès est exploité dans un environnement hautement sécurisé qui protége nos serveurs, vous garantissant la confidentialité de vos informations personnelles. "
-- Manu (Supprimer le NOSPAM pour me répondre)
Pour ceux que cela intéresse ci-joint la réponse de FT à mon mail :
"
Dans l'espace client, votre clé personnelle et votre mot de passe sont
transmis avec le protocole sécurisé https.
Nous n'envisageons pas de mettre tout l'espace client sous ce protocole
sécurisé, qui est pénalisant pour les temps de réponse et de chargement
des pages : nous souhaitons avoir un service rapide et performant pour
tous nos clients, y compris les clients qui accèdent en bas débit à
Internet.
Pour ces raisons, nous prévoyons de limiter l'utilisation de ce
protocole sécurisé à la saisie des identifiants et mots de passe ainsi qu'à
l'ensemble des transactions de paiement en ligne, ce qui n'a pas
d'incidence sur la performance du service.
Dans l'espace client, l'ensemble des transactions de paiement en ligne
est sécurisé. Il est possible que le cadenas de sécurisation ne
s'affiche pas en raison de l'utilisation de frame sur le site.
Vous pouvez le vérifier en cliquant sur le clic droit de votre souris,
lorsque vous vous trouvez sur la page de paiement et en choisissant la
fonctionnalité "propriétés". Vous verrez alors que le protocole utilisé
est en https (sécurisé) et vous pouvez connaître le protocole de
cryptage utilisé (SSL).
Par ailleurs, le service auquel vous avez accès est exploité dans un
environnement hautement sécurisé qui protége nos serveurs, vous
garantissant la confidentialité de vos informations personnelles.
"
Pour ceux que cela intéresse ci-joint la réponse de FT à mon mail :
" Dans l'espace client, votre clé personnelle et votre mot de passe sont transmis avec le protocole sécurisé https.
Nous n'envisageons pas de mettre tout l'espace client sous ce protocole sécurisé, qui est pénalisant pour les temps de réponse et de chargement des pages : nous souhaitons avoir un service rapide et performant pour tous nos clients, y compris les clients qui accèdent en bas débit à Internet. Pour ces raisons, nous prévoyons de limiter l'utilisation de ce protocole sécurisé à la saisie des identifiants et mots de passe ainsi qu'à l'ensemble des transactions de paiement en ligne, ce qui n'a pas d'incidence sur la performance du service.
Dans l'espace client, l'ensemble des transactions de paiement en ligne est sécurisé. Il est possible que le cadenas de sécurisation ne s'affiche pas en raison de l'utilisation de frame sur le site.
Vous pouvez le vérifier en cliquant sur le clic droit de votre souris, lorsque vous vous trouvez sur la page de paiement et en choisissant la fonctionnalité "propriétés". Vous verrez alors que le protocole utilisé est en https (sécurisé) et vous pouvez connaître le protocole de cryptage utilisé (SSL).
Par ailleurs, le service auquel vous avez accès est exploité dans un environnement hautement sécurisé qui protége nos serveurs, vous garantissant la confidentialité de vos informations personnelles. "
-- Manu (Supprimer le NOSPAM pour me répondre)
Erwann ABALEA
Bonjour,
Je prend le thread en cours de route...
On 21 Jan 2004, Emmanuel Besses wrote:
Dans l'espace client, votre clé personnelle et votre mot de passe sont transmis avec le protocole sécurisé https.
Il faut également que la page qui permet de saisir ces informations ait été transmise en https, sinon elle est modifiable à la volée, et on peut alors envoyer les infos confidentielles en clair...
Nous n'envisageons pas de mettre tout l'espace client sous ce protocole sécurisé, qui est pénalisant pour les temps de réponse et de chargement des pages : nous souhaitons avoir un service rapide et performant pour tous nos clients, y compris les clients qui accèdent en bas débit à Internet.
Mouais. C'est plutôt chez eux que ça craquerait. Une authentification serveur demande une signature RSA côté serveur, et une vérification RSA côté client. Une signature RSA est en gros 20 fois plus lente qu'une vérification de signature RSA... Le débit de la ligne n'influe pas vraiment.
Dans l'espace client, l'ensemble des transactions de paiement en ligne est sécurisé. Il est possible que le cadenas de sécurisation ne s'affiche pas en raison de l'utilisation de frame sur le site.
Et l'utilisateur lambda, il le sait comment? Le cadenas est quelque chose de visuellement identifiable par n'importe qui. Quand l'internaute moyen voit un cadenas sur son IE, il se dit que la session est sécurisée. Il ne va pas de lui-même cliquer mà où il faut pour savoir: - si la frame dans laquelle on lui demande ses infos confidentielles a été transmise de manière sécurisée - si le formulaire est renvoyé par un lien sécurisé C'est au dessus de ses moyens.
Par ailleurs, le service auquel vous avez accès est exploité dans un environnement hautement sécurisé qui protége nos serveurs, vous garantissant la confidentialité de vos informations personnelles.
Argument bidon. On a beau avoir des chiens et du béton autour des serveurs, il restera toujours un cable réseau qui sortira de là...
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- On m'a souvent dit que Club-Internet censurait les groupes (des abonnés de Wanadoo, notamment ;-), mais apparemment ce seraient "les webmasters" qui seraient responsables (?) de cette intervention ; -+- G in : Guide du Neuneu Usenetien - Tout est dans tout -+-
Bonjour,
Je prend le thread en cours de route...
On 21 Jan 2004, Emmanuel Besses wrote:
Dans l'espace client, votre clé personnelle et votre mot de passe sont
transmis avec le protocole sécurisé https.
Il faut également que la page qui permet de saisir ces informations ait
été transmise en https, sinon elle est modifiable à la volée, et on peut
alors envoyer les infos confidentielles en clair...
Nous n'envisageons pas de mettre tout l'espace client sous ce protocole
sécurisé, qui est pénalisant pour les temps de réponse et de chargement
des pages : nous souhaitons avoir un service rapide et performant pour
tous nos clients, y compris les clients qui accèdent en bas débit à
Internet.
Mouais. C'est plutôt chez eux que ça craquerait. Une authentification
serveur demande une signature RSA côté serveur, et une vérification RSA
côté client. Une signature RSA est en gros 20 fois plus lente qu'une
vérification de signature RSA... Le débit de la ligne n'influe pas
vraiment.
Dans l'espace client, l'ensemble des transactions de paiement en ligne
est sécurisé. Il est possible que le cadenas de sécurisation ne
s'affiche pas en raison de l'utilisation de frame sur le site.
Et l'utilisateur lambda, il le sait comment? Le cadenas est quelque chose
de visuellement identifiable par n'importe qui. Quand l'internaute moyen
voit un cadenas sur son IE, il se dit que la session est sécurisée. Il ne
va pas de lui-même cliquer mà où il faut pour savoir:
- si la frame dans laquelle on lui demande ses infos confidentielles a
été transmise de manière sécurisée
- si le formulaire est renvoyé par un lien sécurisé
C'est au dessus de ses moyens.
Par ailleurs, le service auquel vous avez accès est exploité dans un
environnement hautement sécurisé qui protége nos serveurs, vous
garantissant la confidentialité de vos informations personnelles.
Argument bidon. On a beau avoir des chiens et du béton autour des
serveurs, il restera toujours un cable réseau qui sortira de là...
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
On m'a souvent dit que Club-Internet censurait les groupes (des
abonnés de Wanadoo, notamment ;-), mais apparemment ce seraient "les
webmasters" qui seraient responsables (?) de cette intervention ;
-+- G in : Guide du Neuneu Usenetien - Tout est dans tout -+-
Dans l'espace client, votre clé personnelle et votre mot de passe sont transmis avec le protocole sécurisé https.
Il faut également que la page qui permet de saisir ces informations ait été transmise en https, sinon elle est modifiable à la volée, et on peut alors envoyer les infos confidentielles en clair...
Nous n'envisageons pas de mettre tout l'espace client sous ce protocole sécurisé, qui est pénalisant pour les temps de réponse et de chargement des pages : nous souhaitons avoir un service rapide et performant pour tous nos clients, y compris les clients qui accèdent en bas débit à Internet.
Mouais. C'est plutôt chez eux que ça craquerait. Une authentification serveur demande une signature RSA côté serveur, et une vérification RSA côté client. Une signature RSA est en gros 20 fois plus lente qu'une vérification de signature RSA... Le débit de la ligne n'influe pas vraiment.
Dans l'espace client, l'ensemble des transactions de paiement en ligne est sécurisé. Il est possible que le cadenas de sécurisation ne s'affiche pas en raison de l'utilisation de frame sur le site.
Et l'utilisateur lambda, il le sait comment? Le cadenas est quelque chose de visuellement identifiable par n'importe qui. Quand l'internaute moyen voit un cadenas sur son IE, il se dit que la session est sécurisée. Il ne va pas de lui-même cliquer mà où il faut pour savoir: - si la frame dans laquelle on lui demande ses infos confidentielles a été transmise de manière sécurisée - si le formulaire est renvoyé par un lien sécurisé C'est au dessus de ses moyens.
Par ailleurs, le service auquel vous avez accès est exploité dans un environnement hautement sécurisé qui protége nos serveurs, vous garantissant la confidentialité de vos informations personnelles.
Argument bidon. On a beau avoir des chiens et du béton autour des serveurs, il restera toujours un cable réseau qui sortira de là...
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- On m'a souvent dit que Club-Internet censurait les groupes (des abonnés de Wanadoo, notamment ;-), mais apparemment ce seraient "les webmasters" qui seraient responsables (?) de cette intervention ; -+- G in : Guide du Neuneu Usenetien - Tout est dans tout -+-
