Jericho a écrit
d9pouces a écrit
Concrètement, ça ne changera pas grand-chose dans la mesure où il n'y a normalement pas grand-chose de confidentiel, mais c'est toujours mieux si vous utilisez le même mot de passe sur différents sites
Ah! Parce qu'on peut utiliser des mots de passe différents?
Sérieusement, pourrais-tu s'il te plait m'expliquer en quoi consiste un site en https, par rapport à en autre, à moi qui n'en touche pas une ? Je croyais naïvement que tous les sites l'étaient.
Je vais essayer de donner une petite explication.
HTTP (HyperText Transfer Protocol) est le protocole standard du web, qui est relativement simple.
On s'adresse à un site (par exemple forum.aviationsmilitaires.net ) et on lui demande une page (/posting.php?f=14&p=137681).
Techniquement, il y une étape intermédiaire : si forum.aviationsmilitaires.net est simple à retenir pour un humain, les machines préfèrent utiliser des adresses numériques (une adresse IP, comme 62.210.211.236).
Quand on va sur un site web, il y a donc un échange (transparent pour l'utilisateur) : le navigateur fait une requête (avec un autre protocole) pour convertir forum.aviationsmilitaires.net en 62.210.211.236. Il peut alors lui faire sa demande de page.
Malheureusement, il y a deux problèmes en termes de sécurité là-dedans :
* si quelqu'un de malintentionné (comme la NSA) intercepte le trafic internet, il va voir tous les échanges (donc ton adresse e-mail et ton mot de passe ; si jamais tu utilises les mêmes infos pour lire tes mails, ça peut être très gênant),
* un autre moyen est de faire en sorte que tu reçoives une autre adresse IP quand ton navigateur fait la requête intermédiaire. Tu vas donc interroger un autre serveur, qui peut répondre n'importe quoi, sans que tu le saches.
HTTPS permet d'encapsuler les communications en chiffrant tous les échanges d'une part (donc même si on intercepte le trafic, il est illisible), et d'autre part en garantissant que c'est le bon serveur qui te répond grâce à un certificat. Quand on communique en HTTPS, il y a un petit cadenas dans la barre d'adresse du navigateur.
Il faut voir le certificat comme une carte d'identité signée par une autorité de confiance, et qui est infalsifiable et dont la signature est inimitable. C'est un peu plus pénible à mettre en place, les certificats étaient payants jusqu'à peu et ça demande un peu plus de puissance pour le serveur. Ces trois raisons expliquent que pour l'instant, il y a encore beaucoup de sites qui ne sont pas en HTTPS.
Normalement, les sites comme les banques, les mails, la vente par correspondance sont tous en HTTPS.