Je tiens à diffuser un lien vers un fichier que je ne veux pas mettre
à disposition du public.
Le problème est que j'utilise l'espace Web de mon provider qui n'offre
que du HTTP simple (pas de HTTPS)
Les personnes à qui je compte envoyer le lien ne sont pas expertes en
informatique (loin de là !) donc je ne souhaite pas mettre en place un
système à base de login/mot de passe.
Mon idée est donc la suivante :
1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec
le mot clé "IndexIgnore *" => comme ça, impossible de lister les
répertoires.
2/ Je crée un répertoire dont je génère le nom avec l'algo MD5
appliqué un fichier quelconque qui va me retourner une clé de 64bits :
le nom en hexa sera le nom du répertoire.
3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires
n'étant pas listables et le nom de répertoire étant complexe, je
suppose qu'il est difficile voire impossible de découvrir le fichier
du lien sans le lien !
Ceci dit, étant loin d'être un expert en sécurité, je m'adresse à
vous:
=> quelles sont les failles de mon système ?
La 1ère, je la connais : en diffusant mon lien en clair, il est tout à
fait possible de l'intercepter et de découvrir le fichier.
Donc si j'ai bien compris : que le mot de passe soit saisi directement dans l'URL ou bien dans la dialog box, le mot de passe circule de toutes façons en clair dans la trame
(c'est dommage, ils auraient pu au moins crypter l'envoi du mot de passe)
Envoyer le mot de passe chiffré d'une façon ou d'une autre (MD5 simple par exemple) ne servirait à rien, puisqu'il suffirait de rejouer le mot de passe chiffré pour obtenir l'accès. Il faudrait donc que le serveur envoie un identifiant de session unique, que le client chiffre le mot de passe avec cet identifiant comme sel, puis qu'il envoie ce mot de passe. Ce serait assez compliqué à gérer.
En gros, c'est https ou rien du tout ou bien sinon il faut mettre en place des petits développements permettant de crypter l'info.
Franchement, malgré ce que je t'ai dit précédemment, je dirais que c'est https ou rien du tout.
Le problème chez Free, c'est que je ne crois pas qu'il soit possible de faire autre chose que de l'http.
Si tu veux un semblant de sécurité, il faut aller chez un hébergeur sérieux, pas un hébergeur grand public gratuit comme Free.
Par ailleurs, il faut un minimum d'éducation pour tes utilisateurs, pour éviter que le mot de passe ne devienne très vite public.
Enfin, si tu veux juste protéger un fichier, il y a une manière simple et efficace, qui ne dépend pas des moyens de transmission : un fichier .zip avec un long mot de passe. Généralement, je mets une vingtaine de caractères choisis au hasard. Mais il faut dire que mes destinataires font partie des très rares utilisateurs sachant faire un copier-coller ; ça simplifie la vie et permet de mettre des mots de passe aussi longs que l'on veut.
On 06 Jul 2007 12:27:25 GMT, for.fun@laposte.net:
Donc si j'ai bien compris : que le mot de passe soit saisi directement
dans l'URL ou bien dans la dialog box, le mot de passe circule de
toutes façons en clair dans la trame
(c'est dommage, ils auraient pu
au moins crypter l'envoi du mot de passe)
Envoyer le mot de passe chiffré d'une façon ou d'une autre (MD5 simple
par exemple) ne servirait à rien, puisqu'il suffirait de rejouer le
mot de passe chiffré pour obtenir l'accès.
Il faudrait donc que le serveur envoie un identifiant de session
unique, que le client chiffre le mot de passe avec cet identifiant
comme sel, puis qu'il envoie ce mot de passe. Ce serait assez
compliqué à gérer.
En gros, c'est https ou rien du tout ou bien sinon il faut mettre en
place des petits développements permettant de crypter l'info.
Franchement, malgré ce que je t'ai dit précédemment, je dirais que
c'est https ou rien du tout.
Le problème chez Free, c'est que je ne crois pas qu'il soit possible
de faire autre chose que de l'http.
Si tu veux un semblant de sécurité, il faut aller chez un hébergeur
sérieux, pas un hébergeur grand public gratuit comme Free.
Par ailleurs, il faut un minimum d'éducation pour tes utilisateurs,
pour éviter que le mot de passe ne devienne très vite public.
Enfin, si tu veux juste protéger un fichier, il y a une manière simple
et efficace, qui ne dépend pas des moyens de transmission : un fichier
.zip avec un long mot de passe.
Généralement, je mets une vingtaine de caractères choisis au hasard.
Mais il faut dire que mes destinataires font partie des très rares
utilisateurs sachant faire un copier-coller ; ça simplifie la vie et
permet de mettre des mots de passe aussi longs que l'on veut.
Donc si j'ai bien compris : que le mot de passe soit saisi directement dans l'URL ou bien dans la dialog box, le mot de passe circule de toutes façons en clair dans la trame
(c'est dommage, ils auraient pu au moins crypter l'envoi du mot de passe)
Envoyer le mot de passe chiffré d'une façon ou d'une autre (MD5 simple par exemple) ne servirait à rien, puisqu'il suffirait de rejouer le mot de passe chiffré pour obtenir l'accès. Il faudrait donc que le serveur envoie un identifiant de session unique, que le client chiffre le mot de passe avec cet identifiant comme sel, puis qu'il envoie ce mot de passe. Ce serait assez compliqué à gérer.
En gros, c'est https ou rien du tout ou bien sinon il faut mettre en place des petits développements permettant de crypter l'info.
Franchement, malgré ce que je t'ai dit précédemment, je dirais que c'est https ou rien du tout.
Le problème chez Free, c'est que je ne crois pas qu'il soit possible de faire autre chose que de l'http.
Si tu veux un semblant de sécurité, il faut aller chez un hébergeur sérieux, pas un hébergeur grand public gratuit comme Free.
Par ailleurs, il faut un minimum d'éducation pour tes utilisateurs, pour éviter que le mot de passe ne devienne très vite public.
Enfin, si tu veux juste protéger un fichier, il y a une manière simple et efficace, qui ne dépend pas des moyens de transmission : un fichier .zip avec un long mot de passe. Généralement, je mets une vingtaine de caractères choisis au hasard. Mais il faut dire que mes destinataires font partie des très rares utilisateurs sachant faire un copier-coller ; ça simplifie la vie et permet de mettre des mots de passe aussi longs que l'on veut.
for.fun
On 6 juil, 15:36, Fabien LE LEZ wrote:
On 06 Jul 2007 12:27:25 GMT, :
Enfin, si tu veux juste protéger un fichier, il y a une manière simple et efficace, qui ne dépend pas des moyens de transmission : un fichier .zip avec un long mot de passe. Généralement, je mets une vingtaine de caractères choisis au hasard. Mais il faut dire que mes destinataires font partie des très rares utilisateurs sachant faire un copier-coller ; ça simplifie la vie et permet de mettre des mots de passe aussi longs que l'on veut.
Oui, je crois que c'est de loin la meilleure solution et surtout la plus simple à mettre en pratique. Merci
On 6 juil, 15:36, Fabien LE LEZ <grams...@gramster.com> wrote:
On 06 Jul 2007 12:27:25 GMT, for....@laposte.net:
Enfin, si tu veux juste protéger un fichier, il y a une manière simple
et efficace, qui ne dépend pas des moyens de transmission : un fichier
.zip avec un long mot de passe.
Généralement, je mets une vingtaine de caractères choisis au hasard.
Mais il faut dire que mes destinataires font partie des très rares
utilisateurs sachant faire un copier-coller ; ça simplifie la vie et
permet de mettre des mots de passe aussi longs que l'on veut.
Oui, je crois que c'est de loin la meilleure solution et surtout la
plus simple à mettre en pratique.
Merci
Enfin, si tu veux juste protéger un fichier, il y a une manière simple et efficace, qui ne dépend pas des moyens de transmission : un fichier .zip avec un long mot de passe. Généralement, je mets une vingtaine de caractères choisis au hasard. Mais il faut dire que mes destinataires font partie des très rares utilisateurs sachant faire un copier-coller ; ça simplifie la vie et permet de mettre des mots de passe aussi longs que l'on veut.
Oui, je crois que c'est de loin la meilleure solution et surtout la plus simple à mettre en pratique. Merci
Nina Popravka
On 06 Jul 2007 13:36:27 GMT, Fabien LE LEZ wrote:
Mais il faut dire que mes destinataires font partie des très rares utilisateurs sachant faire un copier-coller ; ça simplifie la vie et permet de mettre des mots de passe aussi longs que l'on veut.
Tu n'as aucune psychologie. Yaka dire que le fichier est un truc croustillant du Loft, ou genre, et le dernier des neuneus arrivera à mettre en oeuvre tout seul les méthodes cryptographiques les plus complexes pour le décoder. Suffit de voir l'ingéniosité dont ils font preuve pour copier des DVDs. Les motiver, c'est la clé :-) -- Nina
On 06 Jul 2007 13:36:27 GMT, Fabien LE LEZ <gramster@gramster.com>
wrote:
Mais il faut dire que mes destinataires font partie des très rares
utilisateurs sachant faire un copier-coller ; ça simplifie la vie et
permet de mettre des mots de passe aussi longs que l'on veut.
Tu n'as aucune psychologie.
Yaka dire que le fichier est un truc croustillant du Loft, ou genre,
et le dernier des neuneus arrivera à mettre en oeuvre tout seul les
méthodes cryptographiques les plus complexes pour le décoder.
Suffit de voir l'ingéniosité dont ils font preuve pour copier des
DVDs.
Les motiver, c'est la clé :-)
--
Nina
Mais il faut dire que mes destinataires font partie des très rares utilisateurs sachant faire un copier-coller ; ça simplifie la vie et permet de mettre des mots de passe aussi longs que l'on veut.
Tu n'as aucune psychologie. Yaka dire que le fichier est un truc croustillant du Loft, ou genre, et le dernier des neuneus arrivera à mettre en oeuvre tout seul les méthodes cryptographiques les plus complexes pour le décoder. Suffit de voir l'ingéniosité dont ils font preuve pour copier des DVDs. Les motiver, c'est la clé :-) -- Nina
for.fun
On 6 juil, 15:36, Fabien LE LEZ wrote:
On 06 Jul 2007 12:27:25 GMT, :
Si tu veux un semblant de sécurité, il faut aller chez un hébergeur sérieux, pas un hébergeur grand public gratuit comme Free.
Encore un petite question, connaîtrais-tu ou connaîtriez-vous (pour les posters du forum en général) un provider qui fournirait un hébergement Web accessible en protocole HTTPS et surtout gratuitement (Free n'est pas si gratuit que ça puisque je l'ai parce que je paye mon abonnement ADSL) ?
(la présence de pub, la limitation du stockage ou de bande passante n'est pas du tout un problème pour moi)
Merci à vous
On 6 juil, 15:36, Fabien LE LEZ <grams...@gramster.com> wrote:
On 06 Jul 2007 12:27:25 GMT, for....@laposte.net:
Si tu veux un semblant de sécurité, il faut aller chez un hébergeur
sérieux, pas un hébergeur grand public gratuit comme Free.
Encore un petite question, connaîtrais-tu ou connaîtriez-vous (pour
les posters du forum en général) un provider qui fournirait un
hébergement Web accessible en protocole HTTPS et surtout gratuitement
(Free n'est pas si gratuit que ça puisque je l'ai parce que je paye
mon abonnement ADSL) ?
(la présence de pub, la limitation du stockage ou de bande passante
n'est pas du tout un problème pour moi)
Si tu veux un semblant de sécurité, il faut aller chez un hébergeur sérieux, pas un hébergeur grand public gratuit comme Free.
Encore un petite question, connaîtrais-tu ou connaîtriez-vous (pour les posters du forum en général) un provider qui fournirait un hébergement Web accessible en protocole HTTPS et surtout gratuitement (Free n'est pas si gratuit que ça puisque je l'ai parce que je paye mon abonnement ADSL) ?
(la présence de pub, la limitation du stockage ou de bande passante n'est pas du tout un problème pour moi)
