En quoi le HTTPS est-il si important pour un site de notre nature ?
le mot de passe de notre compte est transmis en clair au serveur, ça reste une donnée personnelle. à cause de l'incompatibilité avec http, j'ai d'ailleurs fait un mot de passe dédié pour win3x.org et n'utilise donc pas mon mot de passe "principal", vu que celui-ci peut se faire intercepter
@ Transpac, même en présence de HTTPS, je ne peux que vous conseiller de ne pas avoir un mot de passe unique pour tous vos usages.
Evidemment, un être humain peut difficilement retenir des centaines de mots de passe (s'il est inscrit sur des centaines de sites) mais la bonne pratique consiste à en avoir au moins plusieurs, dont un réservé à chaque site d'importance critique (site bancaire) et un autre ou plusieurs pour des usages secondaires. Avoir un mot de passe pour tout, ce n'est vraiment pas bon (si un seul site où vous êtes inscrit se fait pirater >>> tous vos comptes d'ailleurs peuvent potentiellement être détournés si vous utilisez le même mot de passe partout).
Avoir un mot de passe pour tout, ce n'est vraiment pas bon (si un seul site où vous êtes inscrit se fait pirater >>> tous vos comptes d'ailleurs peuvent potentiellement être détournés si vous utilisez le même mot de passe partout).
Oui et à en juger par l'attaque de l'an dernier il est évident que tout le monde a pris ses précautions. Non évidemment il deviendrait urgent de devoir sécuriser les authentifications. Même avec des conseils le site se doit d'avoir au minimum une certaine sûreté pour nos données (mot de passe ET adresse mail). J'ai dû mal à faire confiance uniquement à l'utilisateur seul. Et puis de toute façon la remarque de Tranpac est très juste, même avec un bon mot de passe on est pas à l'abri.
Bon, je viens mettre mon sel dans la soupe si je puis me permettre l'expression
Pour, contre ce type d'authentifications ? Pour une des rares fois, je ne sais trop que dire...
Je suppose que si ça demande plus de travail à gérer, on oublie. Le webmestre n'est pas là assez souvent pour qu'on ait une fonctionnalité de ce genre qui plante et qu'on ne peut pas gérer par manque de droits.
Sinon, je n'ai rien contre, ça fait... bizarre...
_________________
L’homme est un loup pour l’homme, ce qui, vous en conviendrez, n’est pas très gentil pour le loup.
Ma chaîne youtube française sur les vieux ordinateurs et autres vieilles technologies.
PC Rétro : P3 800 MHz ; 384 Mo RAM ; Voodoo 2 ; GeForce 4
"Je suppose que si ça demande plus de travail à gérer, on oublie."
En gros non y aurait rien de vraiment lourd à gérer. Suffit de mettre en place le script PHP d'authentification aux API Google, Facebook et Twitter et d'instancier une variable de session pour lire le contenu du Hide pour la première solution. La deuxième serait plus contraignante à mettre en place car il faudrait associer le compte Google/Facebook/Twitter à un compte en interne ici qui serait instancié dès la première connexion (à moins qu'une extension phpBB existe déjà pour faire ça).
Je remonte ce sujet pour vous annoncer que je viens d'activer l'authentification OAuth de compte via Google, à titre purement expérimental : ucp.php?mode=login
Étant donné les récentes opérations que j'ai faite sur Google pour le compte de Win3x.Org, j'ai profité de l'occasion pour tester cette autre fonctionnalité de phpBB.
11 mai 2018 : J'ai rendu disponible une deuxième possibilité d'authentification externe, via le site bitly.com.
Bien que bitly ne soit pas un réseau social mais plutôt un moyen de raccourcir des URLs, il propose la création de compte et permet l'authentification OAuth. C'est pourquoi il fait partie des quatre sites pris en charge par phpBB (avec Google, Facebook et Twitter).
Par ailleurs, je vous annonce que je ne rendrai pas disponible l'authentification par l'intermédiaire de FaceBook : j'ai passé hier une soirée infernale à cause des difficultés pour me connecter (validation de son inscription par tél. qui m'a poussé à regarder des dizaines de sites de génération de faux numéros), puis difficultés à m'y retrouver dans l'interface de FB, inscription d'un compte dev et conception d'une application de login pour au final constater que ce site refuse désormais purement et simplement l'authentification depuis une connexion http - ce qui est le cas de Win3x.Org. Plusieurs heures de galère pour rien ! En outre, pour avoir tenté ensuite leur login via un site http fourni gracieusement par tortipouss, je n'ai jamais réussi à m'y connecter non plus. J'ai dû m'embrouiller les pinceaux avec leur interface développeur et leur documentation pas claire du tout... toujours est-il que je me suis désinscrit de FB et je ne compte pas y retourner de si tôt.
Si vous tenez vraiment à vous connecter à Win3x.Org par l'intermédiaire de FaceBook plutôt que de retenir un énième mot de passe ou vous connecter par l'intermédiaire de l'interface du site, réputé "non sécurisé" d'après Chrome, vous devriez pouvoir y arriver via Bitly ! En effet, ce site vous permet d'y ouvrir un compte à partir de votre profil FaceBook (en plus de Google et Twitter) !
17 mai 2018 : « jamais deux sans trois » dit-on souvent. Cet adage se vérifie ici puisqu'une troisième possibilité d'authentification externe a été activée, cette fois via le site twitter.com
S'il n'est pas possible de s'inscrire sur Win3x.Org à partir de compte externe (phpBB ne le permet pas), vous pouvez à tout le moins vous connecter ultérieurement à l'aide d'un autre mot de passe (celui de votre compte Bitly, Google, Twitter, voire aussi FaceBook par l'intermédiaire de Bitly) en recourant à ces plateformes dites "sécurisées". Ceux qui ont du mal à retenir un énième mot de passe ou rechignent à s'authentifier directement sur Win3x.Org en l'absence du HTTPS y trouveront leur compte (c'est le cas de dire ).
Raccourcis
FAQ
Inscription
Connexion
![[ img ]](http://www.win3x.org/screens/signature_vorro.gif)
![[ img ]](http://pictoupload.free.fr/upload/1526039902.gif)
).![[ img ]](http://www.win3x.org/screens/oauth.gif)