Je travaille pour une entreprise et nous recevons tous une sorte de système de connexion des employés dont l'URL se présente comme suit dans l'image ci-dessous. (Désolé, je ne peux pas divulguer l'URL complète.)
Je pensais que "Not Secure" avait quelque chose à voir avec les certificats SSL ou quelque chose comme ça, mais après avoir cliqué sur "voir les informations du site" , j'ai obtenu ceci:
J'ai bloqué manuellement Flash, mais je ne sais pas ce qui peut être fait avec les cookies et, si possible, je ne pouvais pas prendre le risque de le faire sur un site Web d'entreprise.
J'ai quelques questions en tête:
Que signifie exactement "non sécurisé"? Cela signifie-t-il qu'il s'agit d'un site Web "HTTP uniquement"?
Quelles sont toutes les raisons possibles pour qu'un site soit "non sécurisé"?
Est-il OK d'avoir un site de connexion à un compte "non sécurisé"?
Les cookies ont-ils quelque chose à voir avec un site non sécurisé?
Quels sont les moyens possibles de sécuriser ce site et comment informer les responsables de sa sécurisation?
Que signifie exactement non sécurisé? Cela signifie-t-il un site Web HTTP uniquement?
"Non sécurisé" dans Chrome signifie que le site n'utilise pas HTTPS.
Quelles sont toutes les raisons possibles pour lesquelles le site n'est pas sécurisé?
Pour obtenir l'erreur exacte ci-dessus, c'est juste lorsqu'un site n'utilise pas HTTPS. Cependant, vous pouvez obtenir une erreur similaire non sécurisée si le certificat du site n'est pas valide ou s'il n'y a pas de HTTPS sur toute la page.
Est-il OK d'avoir un site de connexion au compte non sécurisé?
Non, ce n'est pas correct - si quelqu'un peut intercepter une demande de connexion, il peut voir les informations de connexion de l'utilisateur. IBBoard a fait une bonne remarque dans les commentaires - avoir un site de connexion sans HTTPS qui est sur le réseau interne de l'entreprise n'est pas aussi dangereux que d'être un site public où il est accessible à partir de votre PC domestique. Ce n'est toujours pas sécurisé, mais les seules personnes qui peuvent vraiment MiTM la connexion sont les administrateurs système de l'entreprise ( en supposant que le réseau est correctement configuré ).
Les cookies ont-ils quelque chose à voir avec le site comme n'étant pas sécurisé?
Si le site n'utilise pas HTTPS, cela signifie que les cookies sont envoyés en clair. Cela pourrait entraîner des problèmes lorsque les cookies contiennent des données sensibles telles que des jetons, ce qui peut entraîner un piratage de session.
Quels sont les moyens possibles de rendre ce site aussi sécurisé et comment informer les responsables pour le sécuriser?
En utilisant HTTPS avec un certificat valide, Chrome marquera le site comme "sécurisé". Cependant, comme indiqué par Ed , même un site Web avec un certificat valide peut être non sécurisé si sert également du contenu non sécurisé tel que des images HTTP. Le contenu mixte (ayant des éléments HTTP dans les pages HTTPS) est considéré comme non sécurisé. Si vous êtes préoccupé par la sécurité de ce site de connexion, je voudrais exprimer vos préoccupations au service informatique et voir ce qu'ils peuvent faire à ce sujet.
Oui, à l'heure actuelle, il existe des règles sur les sites utilisant http qui ne seront pas sécurisés, qui sont disponibles ici .
Il existe 2 options principales:
Pour être précis: "Insecure" fait référence à votre connexion au serveur, pas nécessairement au serveur lui-même. Il se peut qu'un serveur propose des connexions http ainsi que https. Idéalement, il redirigerait alors tout accès http vers https. Si ce n'est pas le cas, vous devez spécifier explicitement le protocole https: dans l'URL. Parlez à votre sysAdm dans ce cas.