[MàJ] La nouvelle Newsletter est là, PC INpact bientôt entièrement en HTTPS

PC INpact, ce site Cypherpunk

[MàJ] La nouvelle Newsletter est là, PC INpact bientôt entièrement en HTTPS

Le 12 décembre 2012 à 18h19

Commentaires (125)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Comme toujours, merci à l’ensemble de nos lecteurs affichant la publicité … pour leur soutien, qui rend tout cela possible.





C’est la moindre des choses.



Merci à vous pour la qualité du site et des informations. <img data-src=" />



<img data-src=" />

votre avatar

<img data-src=" /> Tiens avec les sous de Noël jme prends enfin un abo pcinpact un ou deux ans <img data-src=" />

votre avatar







snoopy1492 a écrit :



<img data-src=" /> Tiens avec les sous de Noël jme prends enfin un abo pcinpact un ou deux ans <img data-src=" />





<img data-src=" />


votre avatar

Vive nous! Vive vous! Et un gros bravo à toute l’équipe pour le travail accompli (et le mode incognito est une petite merveille au boulot :-) )

votre avatar



PC INpact bientôt entièrement en HTTPS





<img data-src=" /> Heu ?! Pourquoi ?

votre avatar

“PC INpact bientôt entièrement en HTTPS” <img data-src=" />

votre avatar







sniperdc a écrit :



<img data-src=" /> Heu ?! Pourquoi ?





Avant-dernier § :



pour ceux qui veulent disposer d’une navigation sécurisée





<img data-src=" />


votre avatar







sniperdc a écrit :



<img data-src=" /> Heu ?! Pourquoi ?





Pourquoi pas ? Parce que certains préfèrent, parce que certains le demandent, et parce que ça sera utilisable uniquement pour ceux qui le veulent <img data-src=" />


votre avatar

Merci pour ces news.



Au fait, sur la page pour d’abonner, il n’y a pas le mode Incognito … j’espère que ce n’est pas abandoné.

votre avatar







FacePlouc a écrit :



Merci pour ces news.



Au fait, sur la page pour d’abonner, il n’y a pas le mode Incognito … j’espère que ce n’est pas abandoné.





Le mode Incognito est fonctionnel et présent dans le bloc de droite de toutes les pages, la section abonnement est en cours de refonte ;)


votre avatar

Lol @ TBirdTheYuri <img data-src=" />

votre avatar

Le Hâche-Tété-Pet-Esse, c’est pour la partie du site cochonne (articles de Marc) ? <img data-src=" />

votre avatar

Le https est surtout important pour ceux qui se font passer pour des fanboy Apple sur ce site alors que dans la vraie vie ce sont des évangélistes Microsoft <img data-src=" />

Comme ça personne pourra faire le rapprochement ! <img data-src=" />

votre avatar







sniperdc a écrit :



<img data-src=" /> Heu ?! Pourquoi ?







Car c’est à la mode et ça permet de ralentir le chargement de la page grâce au handshake SSL.



Bon et accessoirement ça évite que ton mot de passe se promène en clair sur le réseau.


votre avatar

Je savais même pas qu’il y avait une newsletter chez PCI <img data-src=" />



C’est quoi l’intérêt par rapport au site ? Des cadeaux à télécharger, un calendrier à imprimer… des réductions sur l’abonnement ?…

votre avatar



Comme toujours, merci à l’ensemble de nos lecteurs affichant la publicité et à nos abonnés Premium pour leur soutien, qui rend tout cela possible.





J’ai un compte Premium, mais très souvent de chez moi je ne me connecte pas… (je suis toujours en mode privé dans FF et j’ai souvent la flemme de me connecter) et j’utilise pas adblock, du coup je participe doublement! :fier:

votre avatar







P-A a écrit :



hum



:~# ping6 www.pcinpact.com

PING www.pcinpact.com(2400:cb00:2048:1:<img data-src=" />d65:7ed8) 56 data bytes

64 bytes from 2400:cb00:2048:1:<img data-src=" />d65:7ed8: icmp_seq=1 ttl=54 time=11.4 ms

64 bytes from 2400:cb00:2048:1:<img data-src=" />d65:7ed8: icmp_seq=2 ttl=54 time=11.8 ms



<img data-src=" />







il est vrai que le www est IPV6 (depuis un moment d’ailleurs, bouh les autres) … mais le reste, non ^^ genre static.pcinpact.com est resté en V4 ! Du coup, si pas d’IPV4, pas d’image, c’est dommage ^^


votre avatar



Certains utilisateurs nous ont aussi demandé quand est-ce que PC INpact passera en IPv6, sachez que c’est d’ores et déjà le cas ;)

Ah ouais ? Il est où le logo “IPV6 Ready” ? <img data-src=" />



<img data-src=" /><img data-src=" />

votre avatar







snoopy1492 a écrit :



<img data-src=" /> Tiens avec les sous de Noël jme prends enfin un abo pcinpact un ou deux ans <img data-src=" />







«Chose promise, chose due»

car

«Les bons comptes font les bons amis»



votre avatar







Drepanocytose a écrit :



Merci pour le HTTPS…









NeVeS a écrit :



Cool merci pour le full HTTPS.







Quel intérêt en retirez-vous ? (je parle bien du full HTTPS, l’intérêt d’une authentification en HTTPS étant évidente).


votre avatar







brazomyna a écrit :



Quel intérêt en retirez-vous ? (je parle bien du full HTTPS, l’intérêt d’une authentification en HTTPS étant évidente).



Surfer tranquillou sur PCI au boulot, sans craindre l’admin.



<img data-src=" />


votre avatar







brazomyna a écrit :



Ce n’est pas une réponse.



Autant l’authentification en HTTPS est un indispensable, autant proposer tout le reste en HTTPS n’apportera strictement rien hormis une surconsommation de ressources,autant du côté des serveurs de PCI que du côté client (conso CPU et latence à l’affichage).





Mon client n’accepte que l’on se connecte que sur les sites en https par défaut. <img data-src=" /> Pour les autres sites, il faut demander une autorisation. Ne me demandez pas pourquoi…


votre avatar







brazomyna a écrit :



Quel intérêt en retirez-vous ? (je parle bien du full HTTPS, l’intérêt d’une authentification en HTTPS étant évidente).





Pratiquement ?

La tranquilité d’esprit. Par ex quand je consulte au taf. Je ne me pose pas de questions (enfin je m’en pose moins) sur une eventuelle interception de ce que je consulte.



Sinon c’est plus une question de philosophie (oui le mot est fort <img data-src=" />) : la sécurisation des données est un enjeu qui va prendre de plus en plus d’importance dans un futur proche (cf les polémiques sur le DPI et autres, je ne t’apprends rien), j’applaudis et j’encourage donc toutes les initiatives qui vont dans ce sens. Celle ci en fait partie.

Même si ca parait inutile sur le moment, et même si ca ne m’est pas utile à moi sur le moment.



Pour les utilisateurs de Chrome ou Firefox, je conseille l’utilisation de HttpsEverywhere.


votre avatar







sniperdc a écrit :



<img data-src=" /> Heu ?! Pourquoi ?







Pour pouvoir se connecter du boulot et profiter de son compte (surtout pour les Premium) sans que ses identifiants passent en clair ?



Merci PCI <img data-src=" /> On est écoutés et ça fait plaisir <img data-src=" /> A nous le mode incognito en sécurisé <img data-src=" />


votre avatar







Drepanocytose a écrit :



Pour les utilisateurs de Chrome ou Firefox, je conseille l’utilisation de HttpsEverywhere.







J’avais lu il y a un moment que ça ne fonctionnait que pour les “gros” sites, pas pour tous. En gros, que ce n’était pas du vrai HTTPS, tout n’était pas chiffré. Je ne sais pas si c’était vrai, et si ça a changé depuis…


votre avatar







Jarodd a écrit :



J’avais lu il y a un moment que ça ne fonctionnait que pour les “gros” sites, pas pour tous. En gros, que ce n’était pas du vrai HTTPS, tout n’était pas chiffré. Je ne sais pas si c’était vrai, et si ça a changé depuis…





Ca force l’utilisation du https pour les sites qui le supportent mais le desactivent par défaut (genre PCI maintenant) et qui disposent d’une règle dans l’extension. Il y en a déjà plein, et tu peux te faire tes règles tout seul pour les sites qui n’en ont pas, c’est un bête fichier xml.



C’est l’Electronic Frontier Fondation et le projet TOR qui sont derrière, un gage de confiance. Je crois que c’est l’EFF d’ailleurs qui tient à jour les sites. C’est pas l’arme absolue mais c’est déjà ca.



Un pote m’a montré un jour à quel point c’est simple de faire un MITM sur des sites à identification pas protégée et dans des réseaux publics…. Des outils comme HttpsEverywhere sont vraiment à conseiller à tous les noobs…


votre avatar







pamputt a écrit :



Il me semble que pour l’utilisateur finale qui dispose uniquement d’une adresse IPv6, ça change quand même quelque chose.





en même temps tu connais beaucoup de monde qui a une IPV6 et pas d’IPV4?


votre avatar







Patch a écrit :



en même temps tu connais beaucoup de monde qui a une IPV6 et pas d’IPV4?





Moi non mais il va y en avoir de plus en plus.


votre avatar







pamputt a écrit :



Moi non mais il va y en avoir de plus en plus.



il n’y en aura pas avant qques années, certainement… sinon il existe IPV6toIPV4.


votre avatar







Arcy a écrit :



Surfer tranquillou sur PCI au boulot, sans craindre l’admin.





L’admin, ça ne l’empêchera pas de voir dans les logs que:




  • que telle connexion était vers pcinpact.com, et pas vers lesitedemaboite.com

  • qu’elle a commencé à telle heure et duré tant de temps.

  • que telle quantité de données a été envoyé à tel moment, tel autre moment, etc…



    Et si vraiment il a un temps fou à perdre, il peut parfaitement croiser les échanges de données (genre à partir des quantités émises pour un ‘POST’ plus importante que pour un ‘GET’ normal pour en déduire quand exactement tu as posté sur le site, et donc trouver en quelques posts, par croisement, ton pseudo.

    Même principe avec les pages vues: puisque les mêmes pages sont accessible en public, il est facile de déduire par comparaison de taille de données échangées lors d’une salve de requêtes quel article exactement a pu être lu.



    Bref, le HTTPS ne sert strictement à rien à ce niveau. Ton admin de toute façon en a probablement rien à battre, et s’il commence à perdre son temps à vouloir retracer l’activité sur le net d’un employé, c’est que l’employé est plutôt dans le colimateur de la boite, donc qu’il serait grand temps pour lui de remettre en question la qualité et la quantité du travail fournis au quotidien, plutôt que perdre du temps à trouver des parades à la con qui ne masqueront pour ainsi dire, rien du tout.




votre avatar







Drepanocytose a écrit :



Pratiquement ?

La tranquilité d’esprit. Par ex quand je consulte au taf. Je ne me pose pas de questions (enfin je m’en pose moins) sur une eventuelle interception de ce que je consulte.



Sinon c’est plus une question de philosophie (oui le mot est fort <img data-src=" />) : la sécurisation des données est un enjeu qui va prendre de plus en plus d’importance dans un futur proche (cf les polémiques sur le DPI et autres, je ne t’apprends rien), j’applaudis et j’encourage donc toutes les initiatives qui vont dans ce sens. Celle ci en fait partie.

Même si ca parait inutile sur le moment, et même si ca ne m’est pas utile à moi sur le moment.



Pour les utilisateurs de Chrome ou Firefox, je conseille l’utilisation de HttpsEverywhere.





HTTPS ou pas, ton patron pourra quand même savoir que tu te balades sur pcinpact si tu y vas au taf. Ce qu’il ne pourra pas savoir c’est quels articles est ce que tu lis ou ce que tu y fais. Cela dit j’approuve entièrement le point sur la « philosophie ».


votre avatar







pamputt a écrit :



HTTPS ou pas, ton patron pourra quand même savoir que tu te balades sur pcinpact. Ce qu’il ne pourra pas savoir c’est quels articles est ce que tu lis ou ce que tu y fais.





Bien sûr. Mais c’est déjà ca.



Et c’est plutôt mon 2eme argument qui me fait dire merci à PCI


votre avatar







NiCr a écrit :



Donc on fait quoi ?





On peut préférer faire un article pour expliquer les limites de l’HTTPS plutôt que continuer à faire croire que le ‘full HTTPS’ apporte une réelle anonymisation du surf dans ce cadre là.



Ca permettra au lecteur de mieux comprendre les limites et de pouvoir l’appliquer aux autres sites. Y a une vieille histoire qui parle d’Homme qui a faim, de poisson, d’apprendre à pêcher, etc… Elle s’applique parfaitement ici.



Pour la partie technique, on peut également préférer utiliser les bonnes pratiques issues de l’état de l’art en matière d’authentification pour assurer une protection contre les tentatives de vol d’identifiants, plutôt qu’utiliser un outil inadapté pour ça (voir pas d’outil du tout comme c’était jusque-là le cas).





votre avatar







NeVeS a écrit :



Et ce n’est pas contre productif dans la mesure où une partie non négligeable des internautes pense qu’à partir du moment où elle surfe sur un site qui à une authentification en HTTPS personne ne pourra usurper leur identité ?





Ca l’est moins que le ‘full HTTPS’, avec le joli petit cadenas dans l’URL tout du long du surf sur le site.





Tu peux aussi ne pas utiliser HTTPS du tout et hasher les informations de connexion en JavaScript côté client, avant de les envoyer au serveur. Oui, il existe toujours d’autres moyens, mais PCI va faire de l’HTTPS pour ceux qui le veulent, c’est tout, je vois pas en quoi ça peut t’empêcher de dormir.



Ca ne m’empêche pas de dormir, je posais juste des questions et j’ai pointé les limites d’un tel choix sans avoir d’argument concret d’un avantage quelconque hormis répondre à un besoin ‘de principe’.


votre avatar

Identification en HTTPS, ok la connexion est sécurisée…



si la suite n’est pas en HTTPS … hmmm merci le beau cookie qui transite en clair. vol de session etc…



https://blog.httpwatch.com/2011/01/28/top-7-myths-about-https/

regarder le numéro1:

Myth #1 – My Site Only Needs HTTPS for the Login Page

le non FULL https est une abération.

votre avatar







brazomyna a écrit :



Ca l’est moins que le ‘full HTTPS’, avec le joli petit cadenas dans l’URL tout du long du surf sur le site.







Non, ça l’est plus. Le “full HTTPS” c’est toujours mieux que “l’HTTPS uniquement pour l’authentification”, que l’utilisateur sache ou non de ce que ça protège vraiment.

Ça protège déjà des sites sur lesquels on peut voler le cookie de session, et rien que ça ce n’est pas négligeable. On est d’accord qu’on ne devrait pas pouvoir le faire mais c’est actuellement le cas.

Ça protège aussi la communication privée (messages privés sur les forums, par exemple).

Rien n’empêche de faire du full HTTPS et d’en expliquer les limites.







brazomyna a écrit :



Ca ne m’empêche pas de dormir, je posais juste des questions et j’ai pointé les limites d’un tel choix sans avoir d’argument concret d’un avantage quelconque hormis répondre à un besoin ‘de principe’.







J’ai pas vraiment vu ces fameuses limites dans tes 8 commentaires, à par une limite “de principe”, à savoir que l’utilisateur se croit totalement en sécurité ; d’après toi, il est trop bête pour comprendre qu’on peut encore savoir qu’il se connecte sur tel site.



Mais moi aussi je suis un utilisateur, je sais ce que ne couvre pas HTTPS, j’ai le droit de pouvoir l’utiliser en toute connaissance de cause. Merci de ne pas niveler le niveau par le bas avec ce faux argument “Les gens ne savent pas, alors ne l’utilisons pas”.


votre avatar







Sheepux a écrit :



si la suite n’est pas en HTTPS … hmmm merci le beau cookie qui transite en clair. vol de session etc…





Si c’est mal fait, oui.



Mais on peut aussi faire les choses bien, typiquement en n’envoyant pas le sessionId en lui-même à chaque page vue, mais quelque chose calculé à partir du sessionId qui sert alors de ‘seed’, et qui peut varier régulièrement au cours de la visite, voir à chaque nouvelle requête.



votre avatar







scullder a écrit :



Et là règle https everywhere qui va bien pour pci <img data-src=" />

http://pastebin.ca/raw/2292585





<img data-src=" />


votre avatar

Moi avec le site en HTTP je n’ai que des Erreur 404 dès que je veux faire une citation / édition…



Sous Opera et W7 64b.

votre avatar







scullder a écrit :



Et là règle https everywhere qui va bien pour pci <img data-src=" />

http://pastebin.ca/raw/2292585







À la ligne “rule from” tu as mis pc-inpact.com au lieu de pcinpact.com


votre avatar







NiCr a écrit :



C’est pas comme ci ça prenait un dixième de seconde pour savoir si t’es en HTTPS ou non…







Quel est le rapport entre le temps de connexion et le fait de se croire en HTTPS alors qu’on ne l’est pas ? <img data-src=" />


votre avatar







Jarodd a écrit :



Quel est le rapport entre le temps de connexion et le fait de se croire en HTTPS alors qu’on ne l’est pas ? <img data-src=" />







Je ne parle pas du temps de connexion, donc aucune idée.


votre avatar







NiCr a écrit :



Je ne parle pas du temps de connexion, donc aucune idée.







Je reformule : quel est le rapport entre le fait de savoir en un dizième de seconde qu’on est en HTTPS et le fait de se croire en HTTPS alors qu’on ne l’est pas ?


votre avatar







Jarodd a écrit :



Je reformule : quel est le rapport entre le fait de savoir en un dizième de seconde qu’on est en HTTPS et le fait de se croire en HTTPS alors qu’on ne l’est pas ?







Bah c’est qu’en un dixième de secondes tu passes de l’état de croyant à celui de savant. <img data-src=" />


votre avatar







David_L a écrit :



On va faire un abonnement Premium+ en partenariat avec Spotflux <img data-src=" />







Franchement, pourquoi pas…

Bon je sais, ce n’est pas votre coeur de métier, mais bon…



Si çà pouvait vous rapporter quelque chose ($), en plus d apporter le VPN aux users…



M’enfin je… délire <img data-src=" />


votre avatar







NiCr a écrit :



J’ai par exemple pas envie que l’admin réseau sache ce que je poste comme commentaires sur PCI







Plus important que les commentaires (qui au final sont publics) : les messages privés… pourront raisonnablement être considérés privés si envoyés en https.



Pis du moment où on commence à mettre du https par-ci par-là, autant y aller franco.

Je ne considère pas la feature comme absolument indispensable dans le cas pci, mais si elle est dispo, je l’utiliserai probablement.


votre avatar







NiCr a écrit :



J’ai par exemple pas envie que l’admin réseau sache ce que je poste comme commentaires sur PCI

:







Certes, mais cela n’empêchera l’admin BdD de consulter tes messages privé ou non, à moins également de chiffrer aussi toutes la base <img data-src=" />



Bon sur des sites Web d’actus, mais ce n’est que mon avis personnel, ce n’est pas utile en dehors des écrans de connexions.


votre avatar







NiCr a écrit :



Nécessite un passeport qui est loin d’être gratuit aux dernières nouvelles <img data-src=" />





Non, pas besoin de passeport pour cette offre :StartSSL™ Free


votre avatar







NiCr a écrit :



Il tourne sous quoi ton serveur ?



Tu veux un certificat auto-signé (alerte de sécurité) ou un vrai certificat ?







ubuntu, j’ai bien réussi a avoir l’https, mais j’ai galéré quand même ^^

je l’ai autosigné c’est juste pour avoir un acces perso a ma seedbox ^^


votre avatar







Sheepux a écrit :



Mon frêre a déja son compte, c’est toujours sympa de garder sa vieille date d’inscription :)

Bah au pire je lui crédite en live le jours de noyel <img data-src=" />

Je vais juste lui préparer une jolie carte “bon pour compte prémium 2ans PCI” <img data-src=" />



Tain, ca c’est l’idée cadeau que j’avais pas pensé !!! <img data-src=" />





Faudra voir une fonction du genre “abonner un compte tiers plutôt que le vôtre”. Comme on est en train de revoir la section, j’en parlerai voir si c’est possible ou complètement relou <img data-src=" />


votre avatar



conformément à nos engagements, PC INpact se refuse de vendre sa base de données d’adresses e-mails à des tiers.





J’aime quand les choses sont claires, merci pci. <img data-src=" />

votre avatar







chrys a écrit :



Certes, mais cela n’empêchera l’admin BdD de consulter tes messages privé ou non, à moins également de chiffrer aussi toutes la base <img data-src=" />



Bon sur des sites Web d’actus, mais ce n’est que mon avis personnel, ce n’est pas utile en dehors des écrans de connexions.





à mon avis il parlait de l’admin de SON réseau. ^^


votre avatar







chrys a écrit :



Certes, mais cela n’empêchera l’admin BdD de consulter tes messages privé ou non, à moins également de chiffrer aussi toutes la base <img data-src=" />







L’admin BDD de PCI ?



Non mais là on parle de confidentialité entre le navigateur et le serveur de PCi. <img data-src=" />


votre avatar







zepompom a écrit :



Je suis très surpris, je viens de vérifier et le mdp est bien envoyé en clair en POST. Autant avoir le site full https, c’est pas nécessaire et lourd a gérer, mais ne pas avoir l’action de login en https, c’est plus que limite…





Oui et ça n’est malheureusement pas nouveau comme je l’ai dit. Autant je peux comprendre que certains protocoles ne soient pas “patché” car peu utilisés par le grand public (telnet, FTP,…) mais le HTML/PHP <img data-src=" />


votre avatar







David_L a écrit :



Faudra voir une fonction du genre “abonner un compte tiers plutôt que le vôtre”. Comme on est en train de revoir la section, j’en parlerai voir si c’est possible ou complètement relou <img data-src=" />





Pourquoi ça serait relou ? Vous n’avez pas simplement un champ “prenium” pour chaque compte PCINpact ? Ou une table “preniums” avec association pid id utilisateur ?


votre avatar







loic_1715 a écrit :



Pourquoi ça serait relou ? Vous n’avez pas simplement un champ “prenium” pour chaque compte PCINpact ? Ou une table “preniums” avec association pid id utilisateur ?





Je n’ai pas la maîtrise des temps de développement de telle ou telle fonction. Donc je dis que j’en parlerai avec l’équipe, et on verra ce que l’on pourra faire ;) Si ça n’est pas long, ça sera proposé.


votre avatar

Très bonne nouvelle pour l’HTTPS. Au tour de l’IPv6 maintenant

votre avatar







pamputt a écrit :



Très bonne nouvelle pour l’HTTPS. Au tour de l’IPv6 maintenant







hum



:~# ping6 www.pcinpact.com

PING www.pcinpact.com(2400:cb00:2048:1:<img data-src=" />d65:7ed8) 56 data bytes

64 bytes from 2400:cb00:2048:1:<img data-src=" />d65:7ed8: icmp_seq=1 ttl=54 time=11.4 ms

64 bytes from 2400:cb00:2048:1:<img data-src=" />d65:7ed8: icmp_seq=2 ttl=54 time=11.8 ms



<img data-src=" />


votre avatar

<img data-src=" />

votre avatar



Comme toujours, merci à l’ensemble de nos lecteurs affichant la publicité et à nos abonnés Premium pour leur soutien, qui rend tout cela possible.





Oui bravo à eux et bravo à vous <img data-src=" /><img data-src=" /><img data-src=" />

votre avatar







P-A a écrit :



hum



:~# ping6 www.pcinpact.com

PING www.pcinpact.com(2400:cb00:2048:1:<img data-src=" />d65:7ed8) 56 data bytes

64 bytes from 2400:cb00:2048:1:<img data-src=" />d65:7ed8: icmp_seq=1 ttl=54 time=11.4 ms

64 bytes from 2400:cb00:2048:1:<img data-src=" />d65:7ed8: icmp_seq=2 ttl=54 time=11.8 ms



<img data-src=" />





<img data-src=" /> Toutes mes excuses. J’ai du raté l’annonce car jusqu’à récemment ce n’était pas le cas. En tout cas, très bon travail.


votre avatar







hellmut a écrit :



à mon avis il parlait de l’admin de SON réseau. ^^







Ah effectivement je n’avais pas pensé à celui-ci


votre avatar







hellmut a écrit :



à mon avis il parlait de l’admin de SON réseau. ^^









chrys a écrit :



Ah effectivement je n’avais pas pensé à celui-ci







C’est parce que tu postes jamais du travail <img data-src=" />


votre avatar







P-A a écrit :



hum



:~# ping6 www.pcinpact.com

PING www.pcinpact.com(2400:cb00:2048:1:<img data-src=" />d65:7ed8) 56 data bytes

64 bytes from 2400:cb00:2048:1:<img data-src=" />d65:7ed8: icmp_seq=1 ttl=54 time=11.4 ms

64 bytes from 2400:cb00:2048:1:<img data-src=" />d65:7ed8: icmp_seq=2 ttl=54 time=11.8 ms



<img data-src=" />





Oui, mais le forum, hein ?? <img data-src=" />



(non, je rigole, c’est déjà énorme d’avoir PCI en v6, même si pour l’utilisateur final, ca change rien)


votre avatar

Trop de charges en cette fin d’année … mais dès que possible, hop abonnement.

votre avatar

Cool merci pour le full HTTPS.

votre avatar

Merci pour le HTTPS…

votre avatar

Il n’y a pas de traduction française pour newsletter.



Mal de coeur de tous ces anglicismes de merdes en électro-informatique.






votre avatar







David_L a écrit :



Pourquoi pas ? Parce que certains préfèrent, parce que certains le demandent, et parce que ça sera utilisable uniquement pour ceux qui le veulent <img data-src=" />







Et surtout, c’est de la securité supplementaire totalement transparente donc ca mange vraiment pas de pain…

<img data-src=" />


votre avatar







von-block a écrit :



Il n’y a pas de Je ne connais pas la traduction française pour newsletter.





Lettre d’information.


votre avatar

Il manque DNSSEC sur le domaine pcinpact ;-)

votre avatar







benamey a écrit :



J’aime quand les choses sont claires, merci pci. <img data-src=" />





Ah bah ils disent qu’ils refusent de la vendre, mais ils sont p’tête prêts à la donner!! <img data-src=" /><img data-src=" />



<img data-src=" />


votre avatar







brazomyna a écrit :



Un truc genre Folding @ home en priorité ultra basse par exemple, histoire de rendre utile une capacité de calcul inutilisée, etc. LEs exemples sont nombreux.







Le cryptage ne represente plus rien du tout pour un serveur moderne. On aurait peut etre pu se poser la question y’a 10+ ans mais aujourd’hui, c’est clairement peanuts.

De la meme facon que la compression des pages n’ajoute meme pas 0,5% de charge CPU supplementaire.


votre avatar







Drepanocytose a écrit :



Lettre d’information.







Il manquait un point d’interrogation à ma phrase en effet.


votre avatar







anonyme a écrit :



Oui, mais le forum, hein ?? <img data-src=" />



(non, je rigole, c’est déjà énorme d’avoir PCI en v6, même si pour l’utilisateur final, ca change rien)





Il me semble que pour l’utilisateur finale qui dispose uniquement d’une adresse IPv6, ça change quand même quelque chose.


votre avatar







brazomyna a écrit :



Je ne dis pas le contraire, mais c’est votre choix de proposer ce choix que je trouve plutôt étonnant.



Etant donné qu’on vit dans un monde fini, passer du temps à faire ça, cela revient à passer autant de temps à ne pas faire autre chose de potentiellement plus utile.



Même principe pour les charges des serveurs / équipement dédiés qui auraient pu servir à autre chose, etc…





Je doute que la charge serveur soit ici un problème, le temps d’implémentation n’est pas énorme pour cette fonctionnalité. Si des lecteurs veulent à raison ou non que leurs échanges avec PCi soient chiffrés, on leur propose, vu que c’est désormais le cas sur certaines portions du site.


votre avatar

https FTW ! :oui2:<img data-src=" />

votre avatar







brazomyna a écrit :



Je ne dis pas le contraire, mais c’est votre choix de proposer ce choix que je trouve plutôt étonnant.



Etant donné qu’on vit dans un monde fini, passer du temps à faire ça, cela revient à passer autant de temps à ne pas faire autre chose de potentiellement plus utile.



Même principe pour les charges des serveurs / équipement dédiés qui auraient pu servir à autre chose, etc…



Un truc genre Folding @ home en priorité ultra basse par exemple, histoire de rendre utile une capacité de calcul inutilisée, etc. LEs exemples sont nombreux.







C’est pourquoi il ne te répondra pas. Perte de temps, utilité, toussa.



Nan mais plus sérieusement puisqu’on te dit qu’il y a une demande de la part des utilisateurs.


votre avatar

Je vais dans la salle B4, qui vient avec moi ? <img data-src=" />



MAJ : oups, en plus je me trompe de topic.

votre avatar

Pour noel peut on prépayer un abonnement PCI de 2ans et avoir un code à offrir en cadeau à quelqu’un qu’il pourra activer sur son compte ?

votre avatar







brazomyna a écrit :



Un truc genre Folding @ home en priorité ultra basse par exemple, histoire de rendre utile une capacité de calcul inutilisée, etc. LEs exemples sont nombreux.







Donc tu trouves plus important pour un site d’actu qui ne roule pas sur l’or de mettre en place Folding@Home qui ne rapporte rien, plutôt que de mettre en place une feature demandée par les utilisateurs ? <img data-src=" /><img data-src=" />


votre avatar

Y a encore des gens qui lisent les newsletters, surtout sur un site de Geek, presque en 2013 ?

votre avatar







Sheepux a écrit :



Pour noel peut on prépayer un abonnement PCI de 2ans et avoir un code à offrir en cadeau à quelqu’un qu’il pourra activer sur son compte ?









  • 1 <img data-src=" />


votre avatar







lain a écrit :



pci ne fonctionne pas déja en https ??

pcinpact.com PC INpact



ça fonctionne ^^



j’ai voulue installer un serveur web sur mon dédié et mettre en plaçe l’https, c’est franchement galère et mal documenté ^^







C’est surtout chiant de raquer pour faire signer son certificat (pour un simple site perso).

Soit tu raques soit tes visiteurs ont un message « bouh t’es bien sûr d’accepter ce certificat? » qui est contre productif au possible.


votre avatar

Et c’est pour quand l’API PC INpact ?

Je veux poster mes commentaires en REST avec une connexion OAuth. <img data-src=" />

votre avatar







Sheepux a écrit :



Pour noel peut on prépayer un abonnement PCI de 2ans et avoir un code à offrir en cadeau à quelqu’un qu’il pourra activer sur son compte ?





Non, mais on pense à un truc du genre (plus général). Après rien n’empêche de créer le cmopte et de faire ensuite un changement de mail / pseudo ;)


votre avatar

Je suis heureux de voir que je n’ai pas rempilé sur 2 ans pour rien <img data-src=" />

votre avatar







j-dub a écrit :



Nan mais plus sérieusement puisqu’on te dit qu’il y a une demande de la part des utilisateurs.







Ben ce sont des utilisateurs qui ne savent pas ce qu’est le https <img data-src=" />



Je trouve également cela inutile, hormis pour les écrans de connexions bien sûr, voir contre productif si temps d’affichage plus long (ok qq ms) et charge plus importante.


votre avatar







lateo a écrit :



C’est surtout chiant de raquer pour faire signer son certificat (pour un simple site perso).

Soit tu raques soit tes visiteurs ont un message « bouh t’es bien sûr d’accepter ce certificat? » qui est contre productif au possible.







Faux, certificats totalement gratuits disponibles sur https://www.startssl.com/


votre avatar







chrys a écrit :



Ben ce sont des utilisateurs qui ne savent pas ce qu’est le https <img data-src=" />



Je trouve également cela inutile, hormis pour les écrans de connexions bien sûr, voir contre productif si temps d’affichage plus long (ok qq ms) et charge plus importante.







Et le fait de vouloir être tranquille peu importe le réseau auquel on est connecté ?



J’ai par exemple pas envie que l’admin réseau sache ce que je poste comme commentaires sur PCI







Freud a écrit :



Faux, certificats totalement gratuits disponibles sur https://www.startssl.com/







Nécessite un passeport qui est loin d’être gratuit aux dernières nouvelles <img data-src=" />


votre avatar







David_L a écrit :



Non, mais on pense à un truc du genre (plus général). Après rien n’empêche de créer le cmopte et de faire ensuite un changement de mail / pseudo ;)





Mon frêre a déja son compte, c’est toujours sympa de garder sa vieille date d’inscription :)

Bah au pire je lui crédite en live le jours de noyel <img data-src=" />

Je vais juste lui préparer une jolie carte “bon pour compte prémium 2ans PCI” <img data-src=" />



Tain, ca c’est l’idée cadeau que j’avais pas pensé !!! <img data-src=" />


votre avatar

<img data-src=" /><img data-src=" />

votre avatar

<img data-src=" />

votre avatar



Les adeptes de l’HTTPS seront pour leur part ravis d’apprendre que la mise en place progressive de ce protocole est en cours sur l’ensemble du site





<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Et <img data-src=" /> pour le sous-titre ! <img data-src=" />

votre avatar







Fantassin a écrit :



Je savais même pas qu’il y avait une newsletter chez PCI <img data-src=" />



C’est quoi l’intérêt par rapport au site ? Des cadeaux à télécharger, un calendrier à imprimer… des réductions sur l’abonnement ?…





Le spam dans la boite mail. 365 fois par an.


votre avatar







Khalev a écrit :



Le spam dans la boite mail. 365 fois par an.





366 cette année <img data-src=" />


votre avatar







Fantassin a écrit :



Je savais même pas qu’il y avait une newsletter chez PCI <img data-src=" />



C’est quoi l’intérêt par rapport au site ? Des cadeaux à télécharger, un calendrier à imprimer… des réductions sur l’abonnement ?…





Recevoir un compte rendu tous les matins, certains préfèrent ;) On n’utilise pas la mailing pour autre chose, conformément à ce que l’on annonce dans l’A propos du site ;) (sauf pour annoncer des concours par exemple, mais ça c’est uniquement sur la mailing ponctuelle).


votre avatar

Bonne nouvelle pour le HTTPS. C’est vraiment dommage que le chiffrement SSL/TLS ne soit pas un standard du WEB dès qu’il y a un champ password dans un formulaire HTML… C’est pourtant le genre de faille de sécu élémentaire qu’on doit connaître depuis… 20 ans ?!

votre avatar

pci ne fonctionne pas déja en https ??

pcinpact.com PC INpact



ça fonctionne ^^









loic_1715 a écrit :



Bonne nouvelle pour le HTTPS. C’est vraiment dommage que le chiffrement SSL/TLS ne soit pas un standard du WEB dès qu’il y a un champ password dans un formulaire HTML… C’est pourtant le genre de faille de sécu élémentaire qu’on doit connaître depuis… 20 ans ?!







j’ai voulue installer un serveur web sur mon dédié et mettre en plaçe l’https, c’est franchement galère et mal documenté ^^


votre avatar







loic_1715 a écrit :



Bonne nouvelle pour le HTTPS. C’est vraiment dommage que le chiffrement SSL/TLS ne soit pas un standard du WEB dès qu’il y a un champ password dans un formulaire HTML… C’est pourtant le genre de faille de sécu élémentaire qu’on doit connaître depuis… 20 ans ?!







Je suis très surpris, je viens de vérifier et le mdp est bien envoyé en clair en POST. Autant avoir le site full https, c’est pas nécessaire et lourd a gérer, mais ne pas avoir l’action de login en https, c’est plus que limite…



@David_L, y’a une raison derrière ce choix ?


votre avatar



Cela sera tout d’abord activé de manière systématique dans la phase de connexion à votre compte, avant une extension à l’ensemble du site, de manière volontaire.



il n’y aura aucun moyen d’éviter le https lors du login ? parce que depuis mon taff le https est bloqué par le proxy, ça veut dire que je ne pourrai plus me loguer/deloguer :/

votre avatar







zepompom a écrit :



Je suis très surpris, je viens de vérifier et le mdp est bien envoyé en clair en POST. Autant avoir le site full https, c’est pas nécessaire et lourd a gérer, mais ne pas avoir l’action de login en https, c’est plus que limite…



@David_L, y’a une raison derrière ce choix ?





Vérifie, c’est le cas sur quasi tous les sites (malheureusement). C’est aussi pour ça qu’on active l’HTTPS côté front-end. Mais on globalise sur l’ensemble du site







lain a écrit :



pci ne fonctionne pas déja en https ??

https://www.pcinpact.com/news/76012-la-nouvelle-newsletter-est-la-pc-inpact-bien…



ça fonctionne ^^



j’ai voulue installer un serveur web sur mon dédié et mettre en plaçe l’https, c’est franchement galère et mal documenté ^^





Comme dit dans l’actu, le déploiement est en cours ;) On annoncera quand tout sera bien fonctionnel.


votre avatar







David_L a écrit :



Pourquoi pas ? Parce que certains préfèrent, parce que certains le demandent, et parce que ça sera utilisable uniquement pour ceux qui le veulent <img data-src=" />





Ce n’est pas une réponse.



Autant l’authentification en HTTPS est un indispensable, autant proposer tout le reste en HTTPS n’apportera strictement rien hormis une surconsommation de ressources,autant du côté des serveurs de PCI que du côté client (conso CPU et latence à l’affichage).



votre avatar







bubka a écrit :



il n’y aura aucun moyen d’éviter le https lors du login ? parce que depuis mon taff le https est bloqué par le proxy, ça veut dire que je ne pourrai plus me loguer/deloguer :/





On va voir ce que l’on peut faire pour ce genre de cas, le changement de la procédure de login est de toutes façons en préparation pour combler ce genre de cas.


votre avatar







brazomyna a écrit :



Ce n’est pas une réponse.



Autant l’authentification en HTTPS est un indispensable, autant proposer tout le reste en HTTPS n’apportera strictement rien hormis une surconsommation de ressources,autant du côté des serveurs de PCI que du côté client (conso CPU et latence à l’affichage).





Une fois de plus, si tu ne veux pas l’utiliser, tu n’auras rien à faire, l’HTTPS ne s’activera que ceux qui iront sur le site en HTTPS de manière volontaire. L’important, c’est d’avoir le choix, non ? ;)


votre avatar

A quand le VPN-PCI ? <img data-src=" />

votre avatar







divinechild a écrit :



A quand le VPN-PCI ? <img data-src=" />





On va faire un abonnement Premium+ en partenariat avec Spotflux <img data-src=" />


votre avatar







lain a écrit :



j’ai voulue installer un serveur web sur mon dédié et mettre en plaçe l’https, c’est franchement galère et mal documenté ^^







Il tourne sous quoi ton serveur ?



Tu veux un certificat auto-signé (alerte de sécurité) ou un vrai certificat ?


votre avatar







David_L a écrit :



L’important, c’est d’avoir le choix, non ? ;)





Je ne dis pas le contraire, mais c’est votre choix de proposer ce choix que je trouve plutôt étonnant.



Etant donné qu’on vit dans un monde fini, passer du temps à faire ça, cela revient à passer autant de temps à ne pas faire autre chose de potentiellement plus utile.



Même principe pour les charges des serveurs / équipement dédiés qui auraient pu servir à autre chose, etc…



Un truc genre Folding @ home en priorité ultra basse par exemple, histoire de rendre utile une capacité de calcul inutilisée, etc. LEs exemples sont nombreux.



votre avatar







brazomyna a écrit :



L’admin, ça ne l’empêchera pas de voir dans les logs que:




  • que telle connexion était vers pcinpact.com, et pas vers lesitedemaboite.com

  • qu’elle a commencé à telle heure et duré tant de temps.

  • que telle quantité de données a été envoyé à tel moment, tel autre moment, etc…



    Tu peux bien surfer sur un site comme PCI pour faire de la veille documentaire …



    Et je me doute bien qu’en sécurisé, il voit que ce qu’on a visité, j’ai juste résumé vite fait.


votre avatar

Je soutient PCInpact, j’ai désactivé Ad-Block pour ce site ! <img data-src=" />

votre avatar







Drepanocytose a écrit :



Ca force l’utilisation du https pour les sites qui le supportent mais le desactivent par défaut (genre PCI maintenant) et qui disposent d’une règle dans l’extension. Il y en a déjà plein, et tu peux te faire tes règles tout seul pour les sites qui n’en ont pas, c’est un bête fichier xml.







C’est que j’avais cru comprendre. Donc cela sert uniquement si le site existe en https, ce qui n’est pas très répandu (à part les sites d’e-commerce, les banques, et les mondialement connus qui peuvent se payer des certificats).



Le Everywhere me gêne car il laisse à penser qu’en l’utilisant on est en sécurisé de partout, ce qui est faux. C’est presque anti-productif si on se pense protégé à tort… <img data-src=" />







pamputt a écrit :



HTTPS ou pas, ton patron pourra quand même savoir que tu te balades sur pcinpact si tu y vas au taf. Ce qu’il ne pourra pas savoir c’est quels articles est ce que tu lis ou ce que tu y fais. Cela dit j’approuve entièrement le point sur la « philosophie ».







Plus que mon historique de navigation (le site n’est pas bloqué donc j’y ai droit), c’est surtout mes identifiants que je souhaite protéger. Là on va pouvoir se logguer, profiter des avantages Premium, et même lâcher des commz <img data-src=" /> En plus ça profitera à PCI puisqu’on naviguera plus et plus longtemps <img data-src=" />


votre avatar







Arcy a écrit :



Tu peux bien surfer sur un site comme PCI pour faire de la veille documentaire





Je ne dis pas le contraire.



Je dis juste que proposer une version sécurisée d’un contenu visible par ailleurs en non sécurisé n’apporte à peu près aucune confidentialité sur le surf en lui-même, et donc l’intérêt d’un ‘full HTTPS’, au délà de ce qui touche aux infos ‘sensibles’ (mot de passe, …), est à peu près nul.







Jarodd a écrit :



C’est presque anti-productif si on se pense protégé à tort… <img data-src=" />





+1


votre avatar







brazomyna a écrit :



Quel intérêt en retirez-vous ? (je parle bien du full HTTPS, l’intérêt d’une authentification en HTTPS étant évidente).







C’est une question de principes, je chiffre tout ce qui est facile à chiffrer (disque dur, mails, web, irc, …) En temps normal je fais tout transiter par un tunnel SSH jusqu’à une machine chez moi, mais dans certains rares cas le tunnel SSH ne peut pas s’établir. Ça ne coûte presque rien de tout chiffrer, alors je le fais quand c’est possible.

Et sinon il arrive -souvent- que le cookie de session soit rejouable, après authentification ; si quelqu’un le récupère lorsque je navigue sur la partie HTTP d’un site il peut usurper mon identité (je n’ai pas regardé si c’était faisable sur PCI).


votre avatar







NeVeS a écrit :



C’est une question de principes





Pour moi, ce genre de non argument, c’est l’autre façon de dire “je fais rentrer au forceps un cas particulier dans une généralisation ‘à l’aveugle’ qui ne s’adapte absolument pas au cas dont on discute en ce moment”.


votre avatar







brazomyna a écrit :



L’autre façon de dire “je fais rentrer au forceps un cas particulier dans une généralisation ‘à l’aveugle’ qui ne s’adapte absolument pas au cas dont on discute en ce moment”.







Pardon ? tu me demandes mon avis (“Quel intérêt en retirez-vous ?”), je te le donne, et après tu te plains que c’est mon avis ? J’ai juste remercié PCI pour l’HTTPS hein, j’ai pas chié une pendule (comme certain, hein) sur le sujet.


votre avatar

Et comme il faut un vrai argument à Monsieur, je viens de tester : on peut usurper l’identité de quelqu’un sur PCI si on sniff une session HTTP et qu’on récupère les cookies ASP.NET_SessionId et .ASPXAUTH. Testé depuis une autre IP que celle depuis laquelle je me suis identifié.

votre avatar







Drepanocytose a écrit :



Pour les utilisateurs de Chrome ou Firefox, je conseille l’utilisation de HttpsEverywhere.







Et là règle https everywhere qui va bien pour pci <img data-src=" />

http://pastebin.ca/raw/2292585







votre avatar







Twiz a écrit :



Je soutient PCInpact, j’ai désactivé Ad-Block pour ce site ! <img data-src=" />





<img data-src=" />


votre avatar

bonjour,



bon je ne me suis pas tapé les 11 pages de commentaires, mais juste pour signaler que lorsque dans mon compte j’ai checked la checkbox de la newsletter, à la mise à jour de mon profil j’ai eu une jolie redirection vers



pcinpact.com PC INpactavec un joli message json :

{“message”:“Informations mises à jour”}



voili voilou voila ^^

votre avatar







Jarodd a écrit :



C’est presque anti-productif si on se pense protégé à tort… <img data-src=" />







C’est pas comme ci ça prenait un dixième de seconde pour savoir si t’es en HTTPS ou non…


votre avatar







NeVeS a écrit :



Pardon ? tu me demandes mon avis (“Quel intérêt en retirez-vous ?”), je te le donne, et après tu te plains que c’est mon avis ?





J’ai juste rétorqué que pour moi ce n’était pas un argument valable, mais juste une généralisation qui ne collait pas avec ce cas précis. Je n’ai pas remis en cause le fait que ça constitue manifestement pour toi un argument valable et suffisant.







NeVeS a écrit :



Et comme il faut un vrai argument à Monsieur, je viens de tester : on peut usurper l’identité de quelqu’un sur PCI si on sniff une session HTTP et qu’on récupère les cookies ASP.NET_SessionId et .ASPXAUTH. Testé depuis une autre IP que celle depuis laquelle je me suis identifié.





C’est pareil que l’absence d’HTTPS pour l’authentification: c’est pas parce que lors du développement du site PCI a mal fait les choses, que ça justifie pour autant l’emploi de cette technique.

Il existe d’autres moyens de se prémunir contre le cookie stealing sans avoir recours à un chiffrement de l’ensemble des données (et heureusement).



votre avatar







NiCr a écrit :



C’est pas comme ci ça prenait un dixième de seconde pour savoir si t’es en HTTPS ou non…





C’est contre productif dans la mesure où une partie non négligeable des internautes pense qu’à partir du moment où il surfe sur un site en HTTPS l’admin réseau ne pourra même pas savoir par exemple qu’il s’est connecté à tel site plutôt que tel autre.



J’ai également donné quelques exemples dans mes comms précédents pour montrer qu’il est parfaitement possible de retirer d’autres informations plus précises, par recoupement.



votre avatar







brazomyna a écrit :



C’est contre productif dans la mesure où une partie non négligeable des internautes pense qu’à partir du moment où il surfe sur un site en HTTPS l’admin réseau ne pourra même pas savoir par exemple qu’il s’est connecté à tel site plutôt que tel autre.



J’ai également donné quelques exemples dans mes comms précédents pour montrer qu’il est parfaitement possible de retirer d’autres informations plus précises, par recoupement.







Donc on fait quoi ? On supprime le principe même de session ? On surfe tous identifiés par notre numéro de sécu ? <img data-src=" />


votre avatar







brazomyna a écrit :



J’ai juste rétorqué que pour moi ce n’était pas un argument valable, mais juste une généralisation qui ne collait pas avec ce cas précis. Je n’ai pas remis en cause le fait que ça constitue manifestement pour toi un argument valable et suffisant.







Non, tu as répondu agressivement en faisant passer mon avis particulier que tu me demandais pour une argumentation, ce qui n’était absolument pas du tout le cas. Et en zappant volontairement la dernière partie, en plus.







brazomyna a écrit :



C’est pareil que l’absence d’HTTPS pour l’authentification: c’est pas parce que lors du développement du site PCI a mal fait les choses, que ça justifie pour autant l’emploi de cette technique.

Il existe d’autres moyens de se prémunir contre le vol de cookie sans avoir recours à un chiffrement de l’ensemble des données (et heureusement).









C’est contre productif dans la mesure où une partie non négligeable des internautes pense qu’à partir du moment où elle surfe sur un site en HTTPS l’admin réseau ne pourra même pas savoir par exemple qu’il s’est connecté à tel site plutôt que tel autre.





Et ce n’est pas contre productif dans la mesure où une partie non négligeable des internautes pense qu’à partir du moment où elle surfe sur un site qui à une authentification en HTTPS personne ne pourra usurper leur identité ?



Tu peux aussi ne pas utiliser HTTPS du tout et hasher les informations de connexion en JavaScript côté client, avant de les envoyer au serveur. Oui, il existe toujours d’autres moyens, mais PCI va faire de l’HTTPS pour ceux qui le veulent, c’est tout, je vois pas en quoi ça peut t’empêcher de dormir.



Qu’est ce que tu ne comprends pas dans “avant une extension à l’ensemble du site, de manière volontaire ” ? Si tu détestes tellement HTTPS, ne l’utilise pas et laisse tranquille ceux qui veulent l’utiliser, pas besoin d’argumenter mille ans autour de la question.


[MàJ] La nouvelle Newsletter est là, PC INpact bientôt entièrement en HTTPS

Fermer