Paix, amour et bretzels, On samedi 21 avril 2012 à 13:04:33 (+0200), Benoit Leseul wrote: > > Et en fait, est-ce qu'on a besoin que le bugzilla soit en SSL? > Tout site nécessitant une authentification avec des informations > sensibles (email et mot de passe potentiellement utilisé ailleurs) a > besoin d'être en SSL.
Je ne suis pas expert en sécurité, mais il me semble qu'à partir du moment où on s'identifie sur un site, tous les échanges devraient être en SSL. La phase d'authentification, bien sûr, pour éviter l'interception du mot de passe. Mais aussi l'ensemble de la session pour éviter l'interception du cookie de session qui permet ensuite d'usurper icelle (par exemple si l'on se connecte via un Wifi public). > Je ne me suis pas suffisamment documenté sur BrowserID pour savoir si > c'est une alternative suffisante (l'authentification est-elle > entièrement déportée ? Qu'est-ce qui reste à charge du serveur ?), > mais c'est aussi une voie à examiner. Je ne suis pas expert en Persona, mais il me semble que ça permet juste de gérer la phase d'authentification. Le reste de la session est géré de façon classique, le client joint le cookie de session à chaque requête. Donc je doute que ça permette de résoudre le problème. Je ne vois donc que deux solutions : - acheter un certificat « wildcard » (désolé, pas de traduction dans le Transvision); - configurer bugzilla / le serveur pour que les pièces jointes ne soient pas sur des sous-domaines. Je ne sais si c'est possible; https partout ou plus de portes nulle part, et petits beurres, La cloche _______________________________________________ Moz-fr mailing list Moz-fr@mozfr.org http://mozfr.org/mailman/listinfo/moz-fr
