http://peuimporte.over-blog.com/ Les 25 derniers commentaires publiés sur le blog "Le blog de Peu importe" fr Sat, 25 Apr 2009 15:25:20 +0200 Sat, 25 Apr 2009 15:25:20 +0200 Over-blog.com RSS 2.0 Engine Copyright 2012 peuimporte.over-blog.com Divers http://www.rssboard.org/rss-specification/ http://peuimporte.over-blog.com/article-30660647-6.html#comment41071273
Ça ne s'affiche pas parce que le site d'Orange utilise encore des frames, vieille technologie web que je hais, et qui est assez mal vue par les puristes. Il ne faut jamais, jamais s'en servir sur des pages de télépaiement... Car voilà ce qui se passe. le frameset du site Orange n'est jamais protégé par SSL, c'est presque toujours le même. Seul le cadre du milieu change souvent, et il est parfois protégé par SSL, notamment pour envoyer les coordonnées bancaires. Vu que c'est juste ce cadre qui est protégé, et pas l'ensemble de la page, le navigateur n'affiche pas que la page est protégée (et il a bien raison !) Les navigateurs n'affichent jamais quand un cadre seul est protégé, résultat : la protection n'est indiquée nulle part.

C'est un problème, parce que :
- Ce n'est pas tout de protéger les pages de télépaiement, il faut aussi que le visiteur le sache. C'est tout le principe de la chose, l'utilisateur doit se méfier si la sécurité n'est pas indiquée comme d'habitude, sinon l'idée même de sécurité n'a pas de sens.
- Attaquer la sécurité d'un site fait de frames est déjà nettement plus facile.

Comment j'ai vérifié que c'est bel et bien protégé :
- En regardant les codes sources de la plupart des pages, on voit bien que l'URL du cadre de télépaiement est en https://
- En demandant l'URL de ce cadre au navigateur, on le voit aussi.
- En désactivant javascript et en demandant à afficher juste ce cadre, le cadenas apparaît normalement... Mais on ne peut rien faire de cette page avec javascript désactivé.
- En utilisant des programmes de monitoring réseau, on voit bien que la communication de ce cadre avec le site est en SSL.

Je l'ai fait il y a plusieurs mois, mais je suppose que ça n'a pas beaucoup changé.]]> Sun, 26 Apr 2009 21:41:35 +0200 d584e0d62950f5cddbe1b7e27b72e04f