MorganSchmiedt
commented
3 years ago Ce repo est encore utilisé ? cc @papci , @davlgd , @BotINpact
Open MorganSchmiedt opened 3 years ago
MorganSchmiedt
commented
3 years ago Ce repo est encore utilisé ? cc @papci , @davlgd , @BotINpact
pehadavid
commented
3 years ago Hello @MorganSchmiedt oui et merci pour la remontée, quand l'amélioration sera déployée, ça sera notifié ici ;)
Constatations
Vous postez régulièrement des liens vers vos articles sur les réseaux sociaux, notamment sur Twitter à partir du compte @NextInpact.
Aujourd'hui par exemple, ce tweet a été publié:
Le lien intégré dans ce tweet est celui-ci (j'ai volontairement enlevé les paramètres inutiles de l'adresse) :
https://www.nextinpact.com/article/48556/teams-chiffrement-e2e-disponible-en-public-previewCe lien redirige l'internaute (HTTP 301) vers cette adresse :
http://www.nextinpact.com/lebrief/48556/teams-chiffrement-e2e-disponible-en-public-previewCette 2e adresse redirige une nouvelle fois l'internaute (HTTP 301) vers cette adresse, l'adresse finale :
https://www.nextinpact.com/lebrief/48556/teams-chiffrement-e2e-disponible-en-public-previewCe cas n'est pas un cas isolé.
Problème constaté
Lorsque l'internaute charge le lien initial, il est redirigé vers une page non sécurisée par HTTPS, ce qui lui fait prendre un risque (voir Quels sont les risques à visiter un site non sécurisé par HTTPS ?). Un attaquant pourrait, par exemple, intercepter la redirection, la modifier, et redirigier l'internaute vers une autre page.
Le fait que l'internaute soit redirigé une deuxième fois vers une page sécurisée (la page finale) ne diminue pas ce risque. Au contraire, cela donne l'impression à l'internaute de visualiser une page sécurisée, alors que ce n'est pas le cas.
Résolution
Lorsque l'internaute est redirigé vers une autre page, l'adresse de destination doit être sécurisée avec HTTPS.
P.S : votre page de contact (https://www.nextinpact.com/contact) est HS.