[Webmail] c'est utile le https pour un webmail ?

c'est utile le https pour un webmail ? [Webmail] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 22-10-2006 à 18:44:11    

Je viens de passer sous Gmail avec Firefox et l'extension CustomizeGoogle permet d'utiliser Gmail de manière sécurisée via le https : c'est utile ?

Reply

Marsh Posté le 22-10-2006 à 18:44:11   

Reply

Marsh Posté le 22-10-2006 à 18:46:46    

Empiriquement, je dirais oui


---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
Reply

Marsh Posté le 22-10-2006 à 18:49:02    

c'est bien là le fond de ta pensée ?

Reply

Marsh Posté le 22-10-2006 à 18:50:35    

dans l'absolu c'est utile (les mots de passe et les contenu des mails est chiffré) mais en réalité, le danger n'est pas pendant le transport de l'information mais bien pendant le stockage dans la base de donnée.

Reply

Marsh Posté le 22-10-2006 à 18:58:31    

comme pour tout service sécurisé (banques...), non ?
 
donc retour à ma question...


Message édité par Profil supprimé le 22-10-2006 à 18:58:46
Reply

Marsh Posté le 22-10-2006 à 20:54:40    

Cela dépend de la configuration derrière. S'ils utilisent de l'imap-ssl ou pas.
 
Sinon, le https ne sert qu'à sécuriser la page de login.

Reply

Marsh Posté le 23-10-2006 à 09:33:26    

dreamer18 a écrit :

dans l'absolu c'est utile (les mots de passe et les contenu des mails est chiffré) mais en réalité, le danger n'est pas pendant le transport de l'information mais bien pendant le stockage dans la base de donnée.


Sachant que la base de donnée est censé se trouver dans un endroit controler par ton provider, l'utilité d'un transport chiffré entre les serveurs web et les base de données est toute relative. Surcharge de machine inutile (amha).
 
Pour avoir évoluer dans des réseaux avec seulement des hubs, je pense que le transport entre le client et le serveur web DEVRAIT etre chiffré, pour la connexion (transport des login/mot de passe) et par la suite pour la navigation sur le webmail (écriture de mail et lecture). Ensuite dans un environnement switcher, bien que pas a la venu de n'importe quel utilisateur, il n'est pas tres difficile de sniffer le traffic.
 
Donc a mon humble avis, si le LAN client est sous l'entiere autorité de l'utilisateur, un transport sécurisé n'est pas "vital".
Si l'utilisateur souhaite se connecter depuis n'importe quel LAN le chiffrement devient nécessaire.

Reply

Marsh Posté le 24-10-2006 à 19:40:55    

j'ai pas tout saisi (pourtant j'ai lu 2 x)

Reply

Marsh Posté le 24-10-2006 à 20:02:32    

il parle d'une architecture serveur 3 tiers; on distingue la présentation, l'application et la BDD (ex : reverse proxy, serveur web, BDD). Il peut arriver qu'on crypte les données entre le reverse proxy et le serveur Web (https) ou entre le serveur web et la bdd (SSL)


Message édité par dreamer18 le 24-10-2006 à 20:32:49
Reply

Marsh Posté le 24-10-2006 à 23:01:23    

et pour ma question, une réponse adaptée au niveau d'un newbie qui veut quand même savoir, ça donnerait quoi ?  :hello:

Reply

Marsh Posté le 24-10-2006 à 23:01:23   

Reply

Marsh Posté le 25-10-2006 à 05:42:45    

ca veut dire que n'importe qui entre toi et le serveur peut avoir acces a tes données si c'est pas chiffré ...

Reply

Marsh Posté le 25-10-2006 à 07:27:06    

Pas n'importe qui dans le sens, n'importe quel gusse sur internet.
 - Quelqu'un se trouvant sur le meme brin réseau que toi (avec un hub ou un switch (dans certaines condition)) : oui
 - tous les opérateurs par lequel transit tes données : oui
 - les personnes ayant acces au réseau de ton fournisseurs de mail
 
Les réseaux d'opérateurs et de ton fournisseurs de mail sont par nature supposés de confiance (sinon ou va t'on : on change de fournisseurs de mail/d'opérateur).
 
Le point sensible c'est ton réseau... et quelque attaques (sur les DNS, ou sur un site qui se fait passer pour ton fournisseur de mail) qui pourraient éventuellement détourner ton traffic et ainsi récupérer ton compte.

Reply

Marsh Posté le 25-10-2006 à 07:55:53    

enfin pour mémoire chez les opérateurs, il y a une obligation légale dans certains pays qui permet au gouvernement d'inspecter le trafic (chez cisco, la fonctionnalités s'appelle Lawful Intercept, mais ça doit etre implémenté par tous les constructeurs je pense)

Reply

Marsh Posté le 25-10-2006 à 13:43:10    

donc c'est mieux que rien c'est ça ?

Reply

Marsh Posté le 25-10-2006 à 14:19:43    

Moi je trouve utile [:god]

Reply

Marsh Posté le 25-10-2006 à 14:22:39    

dreamer18 a écrit :

enfin pour mémoire chez les opérateurs, il y a une obligation légale dans certains pays qui permet au gouvernement d'inspecter le trafic (chez cisco, la fonctionnalités s'appelle Lawful Intercept, mais ça doit etre implémenté par tous les constructeurs je pense)


A ma connaissance, en france et au USA c'est la loi. Au USA, la loi s'appelle CALEA
 
Apres entre ce que la loi dit et ce qui est réellement mis en place... il y a de la marge

Reply

Marsh Posté le 25-10-2006 à 14:24:50    

Vu que l'authentification se fait par un couple login/mdp, il suffit de keylogger la machine cliente pour avoir accès au compte.  
 
C'est donc seulement utile si tu te connectes uniquement depuis des machines "de confiance", et donc jamais depuis chez un ami/cyber/...  
 
Bienvenue dans le monde de la paranoia [:ocube]

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed