Samedi 25 avril 2009 6 25 /04 /Avr /2009 15:15

Mais où est la sécurité là dedans ???

Orange demande les identifiants de carte bancaire sur un page non sécurisée !!! Capture d'écran montrant la page de paiement du site d'Orange en http non sécurisé
Par Peu importe - Publié dans : Vente en ligne
Ecrire un commentaire - Voir les 1 commentaires
Retour à l'accueil

Commentaires

En fait, la dernière fois que j'ai regardé, la page qui envoie les coordonnées bancaires était bel et bien protégée par SSL, mais ça ne s'affichait pas dasn la barre d'adresse.

Ça ne s'affiche pas parce que le site d'Orange utilise encore des frames, vieille technologie web que je hais, et qui est assez mal vue par les puristes. Il ne faut jamais, jamais s'en servir sur des pages de télépaiement... Car voilà ce qui se passe. le frameset du site Orange n'est jamais protégé par SSL, c'est presque toujours le même. Seul le cadre du milieu change souvent, et il est parfois protégé par SSL, notamment pour envoyer les coordonnées bancaires. Vu que c'est juste ce cadre qui est protégé, et pas l'ensemble de la page, le navigateur n'affiche pas que la page est protégée (et il a bien raison !) Les navigateurs n'affichent jamais quand un cadre seul est protégé, résultat : la protection n'est indiquée nulle part.

C'est un problème, parce que :
- Ce n'est pas tout de protéger les pages de télépaiement, il faut aussi que le visiteur le sache. C'est tout le principe de la chose, l'utilisateur doit se méfier si la sécurité n'est pas indiquée comme d'habitude, sinon l'idée même de sécurité n'a pas de sens.
- Attaquer la sécurité d'un site fait de frames est déjà nettement plus facile.

Comment j'ai vérifié que c'est bel et bien protégé :
- En regardant les codes sources de la plupart des pages, on voit bien que l'URL du cadre de télépaiement est en https://
- En demandant l'URL de ce cadre au navigateur, on le voit aussi.
- En désactivant javascript et en demandant à afficher juste ce cadre, le cadenas apparaît normalement... Mais on ne peut rien faire de cette page avec javascript désactivé.
- En utilisant des programmes de monitoring réseau, on voit bien que la communication de ce cadre avec le site est en SSL.

Je l'ai fait il y a plusieurs mois, mais je suppose que ça n'a pas beaucoup changé.
Commentaire n°1 posté par thelvin le 26/04/2009 à 21h41
Ecrire un commentaire

 

Présentation

 

Créer un Blog

Créez votre blog gratuit

 

Recherche

 

Articles récents

Liste complète

 

Calendrier

Mai 2012
L M M J V S D
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      
<< < > >>

 

Créer un blog gratuit sur over-blog.com - Contact - C.G.U. - Rémunération en droits d'auteur - Signaler un abus