Mauvaise utilisation de http(s) pour les écrans de logon

Posted by

Beaucoup de sites présentent un écran de logon sur une page non sécurisée, et transmettent le logon / password via un formulaire envoyé en https (sécurisé) vers le serveur distant.

Ce n’est pas suffisant.

https ne sert pas uniquement à encrypter la communication “sur le fil internet” mais aussi à s’assurer que le site d’en face est authentique.

Si le site affiché à l’écran est falsifié, on donnera son logon / password au truand qui a falsifié le site.

Dans l’article et la vidéo ci-dessous, l’auteur explique comment il capture vos informations sans altérer le fonctionnement du site original, de telle sorte qu’on ne s’aperçoit pas de la tricherie !

Description live (en anglais).

http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html

 

Leave a Reply

Your email address will not be published. Required fields are marked *