SSL : une obligation ? |
Bienvenue invité ( Connexion | Inscription )
SSL : une obligation ? |
18 Apr 2005, 11:00
Message
#1
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 98 Inscrit : 15-April 05 Lieu : Le Sud Membre no 5513 |
Salut à tous ...
Je me demandais si selon vous il est impératif d'avoir un certificat SSL et de faire tourner OSC avec SSL pour garantir sa sécurité ? en gros SSL est il obligatoire pour éviter les pb ou la sécurité est suffisante sans utiliser SSL ? @+ -------------------- OSC version MS2 fr avec le patch secu de aout 2006
|
|
18 Apr 2005, 12:22
Message
#2
|
|
Ceinture blanche OSC Groupe : Membres Messages : 9 Inscrit : 25-September 04 Membre no 3346 |
le ssl n'est pas impératif pour faire tourner en toute sécurité ta boutique. Il n'existe pas de risque zéro mais en prenant les bonnes mesures tu peux facilement limiter la corruption/attaque de ta boutique.
SSL (Secure Socket Layer) est destiné à crypter de façon sûre les informations échangées entre deux machines et te permet de sécuriser les transactions par carte bancaire. Dans ce cas: oui il est nécessaire de l'utiliser.... En gros |
|
18 Apr 2005, 13:43
Message
#3
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 98 Inscrit : 15-April 05 Lieu : Le Sud Membre no 5513 |
merci.
donc dans l'optique où je fais payer par CB ya forcément du SSL . C'est complexe à mettre en place ce certificat ? C'est l'hébergeur qui le vends c'est ça ? @+ -------------------- OSC version MS2 fr avec le patch secu de aout 2006
|
|
18 Apr 2005, 15:37
Message
#4
|
|
Ceinture noire OSC Groupe : Administrateur Messages : 2022 Inscrit : 23-January 03 Membre no 765 |
Si tu as un paiement par CB avec une banque, automatiquement tu auras du SSL au moment des transactions bancaire, pas besoin de t'en préoccuper.
Ce qui répondra aux autres question de ton post ci-dessus. -------------------- Olivier R.
|
|
18 Apr 2005, 16:18
Message
#5
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 402 Inscrit : 15-April 03 Lieu : Luxembourg Membre no 1068 |
Si j'ai bien compris le fonctionnement, en fait à chaque fois que tu utilises un prestataire de paiement CB, tu passes obligatoirement en SSL sur leur serveur...
Mais de ton côté, tu n'as pas forcement de ssl à installer. Le principal est de sécurisé l'espace ou le client rentre ses N° de CB, ce qui se passe en général sur le serveur sécurisé de la banque. Apres le truc à faire de ton côté, c'est la vérification de l'url envoyée à la banque afin d'être sur qu'elle n'a pas été modifié. Du moins si j'ai bien compris... -------------------- Anthony
--------- Une pincée de Creload B2B, 2 doigts de jfd et des centaines d'heures de travail... Et ce n'est toujours pas fini... |
|
18 Apr 2005, 17:29
Message
#6
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 98 Inscrit : 15-April 05 Lieu : Le Sud Membre no 5513 |
okay ...
donc si j'ai un contrat avec ma banque c'est elle qui aura une page sécurisée en SSL ou moi je devrai juste envoyer ma variable prix en gros ? donc pas besoin de souscrire un contrat SSL avec l'hébergeur de mon site ? . . . sauf pour sécuriser les inscriptions de mes nouveaux membres peut être ? mais est ce vraiment dangereux ? @+ -------------------- OSC version MS2 fr avec le patch secu de aout 2006
|
|
18 Apr 2005, 21:59
Message
#7
|
|
5eme dan OSC Groupe : Administrateur Messages : 14914 Inscrit : 22-November 02 Membre no 610 |
La question a déjà été évoqué plusieurs dizaines de fois mais on ne le répetera jamais assez:
Le SSL ne sert à rien pour 90% des boutiques ça y est j'ai fait sauter de leur siège la moitié des lecteurs et ils remontent péniblement devant leur écran pour lire la suite Je m'explique. Le SSL crypte toutes les données passant dans les tuyaux afin de les rendre illisibles. L'inconvénient de ce codage est qu'il ralenti significativement la navigation et peut même rendre la navigation rédibitoire sur du mutualisé!!! Néanmoins cette sécurisation est INDISPENSABLE pour le paiement par carte. Pour la majorité d'entre nous, c'est la banque ou un prestataire qui s'occupe du paiement et du SSL, donc exit ce problème. Alors, si l'on sous-traite son paiement sécurisé, pourquoi installer le SSL??? Il faut se poser les questions là où elles existent. - Crois-tu que ta boutique sera suffisament intéressante pour qu'un hacker "écoute" les mots de passe d'un client??? et quand bien même y arriverait-il, que va-til en faire? commander pour lui? voir ce qu'il a commandé? - L'autre argument qui tue c'est: "ça sécurise le client". Ah bon?? Personnellement, je suis persuadé que 9 de mes clients sur 10 ne savent pas ce qu'est le SSL et, de toutes façons, le dixième restant ne se posera la question que quand le paiement arrive, pour vérifier que le petit cadenas est bien présent dans la page où il saisira son code de carte. Et là, justement, on a tout fait pour sécuriser la transaction et le rassurer en lui annonçant, dès son arrivée sur le site, que le paiement était sécurisé. Pour résumer, la question à se poser est le jeu en vaut-il la chandelle?? Est-on prêt à payer un certificat de sécurité, prendre un hérgement plus costaud (donc plus cher) capable d'assumer le SSL?? Si notre boutique est dans un domaine où les risques de hack sont importants ou que l'on sait que sa clientèle sera très sensible à ça, alors je dis OUI, et trois fois OUI, il FAUT passer en SSL. A fortriori, si on s'occupe soi-même de la transaction bancaire, sans passer par une banque, avec son propre TPE physique et que l'on collecte le n° de carte!!! Dans ce cas, le SSL est indispensable. Mais je le répète, a mon sens, 90% (voire 99%) des boutiques que chacun développe ici n'a pas besoin du SSL. Beaucoup se donnent énormément de mal pour l'installer inutilement, voire même pénalisent le fonctionnement de leur boutique avec le SSL. voilà, tout cela n'engage que moi et je le partage -------------------- Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions |
|
19 Apr 2005, 11:12
Message
#8
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 98 Inscrit : 15-April 05 Lieu : Le Sud Membre no 5513 |
ça c'est de la réponse ...
et j'avoue qu'en ayant parcouru le forum un bon moment j'ai pas trouvé de réponses aussi claire ! mercix @+ -------------------- OSC version MS2 fr avec le patch secu de aout 2006
|
|
19 Apr 2005, 16:11
Message
#9
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 345 Inscrit : 22-October 04 Lieu : Suisse Membre no 3550 |
autant pour moi
-------------------- [edit modération NO_PUB]
|
|
23 Oct 2005, 12:00
Message
#10
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 104 Inscrit : 2-October 05 Membre no 7322 |
Pour ceux qui veulent du ssl, ovh offre un accès ssl à son espace sans supplement de prix.
Seule l'url change pour devenir https://ssl.ovh.net/~client/ j'ai voulu tester la chose et osc passe en mode sécurisé uniquement pour la connexion du client et la procedure de paiement. Pour la selection des produits, cela se fait en http sur votre nom de domaine. perso, j'ai décidé de ne pas accepter le règlement par CB, mais je crois que je vais laisser le ssl pour que le client puisse voir "le cadenas" car si comme l'a justement souligné Xaglo, la plupart des clients ne savent pas ce qu'est le ssl, beaucoup regardent à voir un cadenas quand ils sont sur la page de validation de commande. @++ -------------------- MS2 avec contrib product fields
|
|
23 Oct 2005, 19:27
Message
#11
|
|
5eme dan OSC Groupe : Administrateur Messages : 14914 Inscrit : 22-November 02 Membre no 610 |
CITATION(pleug) car si comme l'a justement souligné Xaglo, la plupart des clients ne savent pas ce qu'est le ssl attention de ne pas déformer mes propos en les réduisant CITATION(xaglo) Personellement, je suis persuadé que 9 de mes clients sur 10 ne savent pas ce qu'est le SSL et de toutes façons le dixième restant ne se posera la question que quand le paiement arrive, pour vérifier que le petit cadenas est bien présent dans la page où il saisira son code de carte. Et là, justement, on a tout fait pour sécuriser la transaction et le rassurer en lui annonçant, dès son arrivée sur le site, que le paiement était sécurisé. CITATION(pleug) beaucoup regardent à voir un cadenas quand ils sont sur la page de validation de commande. je reste persuadé qu'ils ne font attention à ce petit cadenas QUE au moment de laisser leur n° de carte bleue... et encore!!! en tous cas, tout le monde devrait avoir cette attention.la sécurisation SSL est coûteuse (si si, pas seulement financièrement). Même si ton hébergeur te "l'offre" elle coûtera en temps de connexion et en ralentissement de ton site. Maintenant, chacun fait comme il sent et tant mieux -------------------- Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions |
|
30 Jan 2006, 17:17
Message
#12
|
|
Ceinture blanche+ OSC Groupe : Membres Messages : 36 Inscrit : 30-January 06 Lieu : nantes Membre no 8814 |
Je voudrais rajouter à ça que l'inquiétude primordiale des internautes plus que les vols de carte c'est la sécurité de leurs informations personnelles.
Si on peut répondre à ça en leur disant que les informations qu'ils saisissent sont cryptées et stockée sur des serveurs cryptés, ça leur fait plaisir, un pas de plus vers le paiement par carte bancaire. ça dépend des secteurs, comme l'informatique, mais dans les services, ce n'est pas encore si courrant que ça, surtout quand on engage la carte bancaire de la boîte... -------------------- Celui qui est dans l'enfer permanent ne meure jamais, la longévité y est une dure épreuve. Boudddha
|
|
16 Feb 2006, 21:46
Message
#13
|
|
Ceinture blanche+ OSC Groupe : Membres Messages : 21 Inscrit : 3-March 05 Membre no 4994 |
bonjour, moi je me dit que dans ce bo débat, on ne parle pas du ssl pour l'admin ! car c'est bien les clients, mais je pense que là ou la sécurité y gagnerait c'est pour l'acces a distance du gérant de la boutique : les hacks sur les adresses clients (mail adress ect) alors votre avis ???? -------------------- oscom MS2 + FR + contrib sur mutualisé 90plan
|
|
16 Feb 2006, 22:06
Message
#14
|
|
5eme dan OSC Groupe : Administrateur Messages : 14914 Inscrit : 22-November 02 Membre no 610 |
à ce sujet, tout est dit dans la FAQ
CITATION Notions de base
-------------------- Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions |
|
23 Oct 2008, 16:28
Message
#15
|
|
Ceinture blanche OSC Groupe : Membres Messages : 14 Inscrit : 18-April 08 Membre no 21542 |
si c'était aussi "sécure" sans SSL qu'avec, je ne vois pas pourquoi tout le monde balancerait ses tunes pour des certifs SSL !!! Par ignorance surtout. En effet, depuis les débuts du e-commerce en France, nous assistons à une véritable désinformation sur la question. Les médias ont répandu l'idée que le petit cadenas sur un site était synonyme de sécurité. Les Clients demandent à leur hébergeur un certificat SSL parce qu'ils viennent de voir un reportage à la télé où le principal (et souvent le seul) conseil donné aux téléspectateurs était de s'assurer de la présence de ce cadenas. C'est absolument faux. Comme tous les informaticiens le savent, la cause numéro 1 de l'insécurité sur Internet sont des failles de sécurité au sein de la programmation du site. Si une faille PHP suffisamment grave est exploitée, ce qui est souvent le cas avec des CMS, la sécurité du site ET de l'internaute sont réduites à néant puisque bien qu'ayant le fameux petit cadenas qui le rassure tant, l'internaute ne se doute pas que le code PHP des pages qu'il charge est compromis et que les informations saisies sont de toute façon capturées par un indésirable espion. C'est donc souvent en pensant à tort que cela sécurise leur site que les Webmasters commandent des certificats SSL sans se poser les bonnes questions. Le certificat SSL ne protège que l'internaute d'un espionnage entre son équipement de communication et le serveur qui héberge le site, c'est-à-dire un cas plutôt rare, en aucune façon le certificat SSL n'augmente la sécurité du site ni ne protège l'internaute contre une faille de sécurité de ce site, cas pourtant beaucoup plus fréquent !. Dans le cas d'OsCommerce, je ne vois absolument aucune utilité technique à disposer d'un certificat SSL, à moins que le caddie ne contienne des informations à risque (santé, armement, etc.). Le paiement s'effectuant sur le TPE sécurisé de la banque, il n'y a pas à se soucier des numéros de CB. Quant à l'utilité marketing, elle reste effectivement à l'appréciation de chacun. |
|
24 Oct 2008, 13:07
Message
#16
|
|
2eme dan OSC Groupe : Membres VIP Messages : 3712 Inscrit : 11-April 07 Lieu : Ile de la Réunion Membre no 16487 |
Dans le cas d'OsCommerce, je ne vois absolument aucune utilité technique à disposer d'un certificat SSL, à moins que le caddie ne contienne des informations à risque (santé, armement, etc.). Le paiement s'effectuant sur le TPE sécurisé de la banque, il n'y a pas à se soucier des numéros de CB. Entièrement d'accord Cependant, je réagit sur ce point -> à moins que le caddie ne contienne des informations à risque (santé, armement, etc.) Il y aurait il que le caddie qui contiendrait des données sensibles ? Et les données des clients alors ? -> Nom, prénoms, age, adresses e-mail ... C'est quand même pas rien, non ? Quand un client crée un compte, ou effectue une modification sur sa fiche, ou encore qu'on lui envoie un mail (genre mailling) les données transit bien du serveur de la boutique jusqu'au poste du client, ou son serveur de messagerie. Bref, ces informations circulent donc en clairs sur la toile si aucun certificat ne les cryptent. Faut quand même en être conscient, non ? Donc tout dépends de la nature des données en question, de l'importance qu'on leur donne, et cela peu déboucher sur l'utilité ou non d'un certificat. La dessus c'est du cas par cas à mon sens. Après, si cette désinformation s'accentuent, car il y a désinformation, la dessus on est d'accord, mais si ceci débouche sur une perte de clients parce qu'ils n'ont pas vu le petit cadenas, alors malheureusement cela va faire le jeu des vendeurs de certificats car on sera contraint forcés d'en avoir un -------------------- Nous ne sommes pas un Service Après-Vente ni une Hot-Line !!!, et pas de "UP" et de doublon svp ...
Prenez le temps de lire les informations mises à votre dispositions avant de créer un sujet. Démarrer du bon pied -> Bien utiliser les forums | Bien poser sa question | Règles d'usage des forums Prés-Requis -> Les compétences requises pour réussir avec osCommerce Docs / Infos -> LA FAQ | Rechercher | Contributions | Contribution US Sujets épinglés -> Manuel d'utilisation MS2 | Structure OsC2.2 MS2 | ms2-fr-rc1-w3c | SSL : une obligation? | Design de la MS2 | Tutoriels CSS | Optimisez les performances de votre boutique | Taux de TVA à appliquer Utile -> WampServer | EasyPhp | Xampp | Mamp - Ftp -> FileZilla Apprendre -> siteduzero | alsacreations | apprendre-php | developpez.com |
|
Version bas débit | Nous sommes le : 28th March 2024 - 18:37 |
Ce site est déclaré auprès de la commision Nationale de l'Informatique et des Libertés (déclaration n°: 1043896) |