web-dev-qa-db-fra.com

Pourquoi la page d'administration de Joomla ne dispose-t-elle pas du cryptage https: // ssl?

Est-ce que Joomla backend sans https: // est protégé contre les pirates informatiques en saisissant le mot de passe et les informations de connexion?

Pouvez-vous sortir sans avoir un certificat SSL pour un site très basique sans commerce électronique ni données saisies par les utilisateurs? La seule chose à risque est les détails de l'administrateur Webmasters pour le backend.

Des pensées?

4
user4702831

Les certificats SSL constituent un moyen de protection contre les attaques "d'homme au milieu": http://en.wikipedia.org/wiki/Man-in-the-middle_attack .

Sans certificat SSL, il est possible que la requête de votre navigateur au serveur soit interceptée et que l'intercepteur lise votre mot de passe en dehors de la requête, car le mot de passe sera simplement en texte brut.

Si vous utilisez un certificat SSL, la demande sera chiffrée. Ainsi, même si la demande peut être interceptée, l'intercepteur devra déchiffrer la demande pour pouvoir voir le mot de passe.

Idéalement, vous auriez un certificat SSL et il y a une grosse poussée pour obtenir de plus en plus de sites utilisant des certificats SSL, tels que Google déterminant maintenant si un site prend en charge SSL dans leur classement: http://searchengineland.com/google-commence-donnant-classement-boost-sécurisé-httpsssl-sites-199446 .


Il y a vraiment 2 points à retenir de ceci:

  1. Les données ne sont à risque que pendant la demande. Un pirate informatique doit pouvoir attaquer un homme au milieu pour bénéficier de l'absence de certificat SSL. C'est évidemment une possibilité, mais ce n'est généralement pas le plus gros risque pour un petit site qui ne fait pas de commerce électronique.

  2. La raison pour laquelle Joomla n'utilise pas SSL par défaut pour la page d'administration est que SSL doit être installé sur le serveur et n'est pas fourni par un code que vous pouvez simplement télécharger. Comme Joomla est essentiellement auto-hébergé, vous devez travailler avec votre fournisseur d'hébergement pour ajouter le certificat SSL.

Je recommande fortement d'en ajouter un si vous le pouvez. Il existe même des certificats gratuits disponibles ici: https://www.startssl.com/ . Cependant, de nombreux hôtes facturent des frais d’installation. Il est donc rarement possible de s’en tirer sans aucun coût supplémentaire.

5
David Fritsch