Bonjour, 

Hier, j'ai lancé Wireshark et je me suis connecté à mon site.

En analysant ensuite les paquets de connexion, j'ai vu qu'ils transportaient en clair le pseudo et le mot de passe.

Je voudrai savoir si il est possible pour un pirate d'écouter mon serveur pour recueillir ses informations et si oui, comment m'en prémunir ?

Merci d'avance

Etienne

Salut

Réponse au hasard : HTTPS ?

Si tu veux une réponse plus précise, il faudrait que tu donnes bcp plus de détails.

Le problème de https, c'est que le certificat n'est pas gratuit...

Mais comment un pirate peut écouter un serveur à distance ? Cela veut dire que quand j'upload des fichiers sur mon FTP, comme il n'est pas en SSH, quelqu'un peut prendre mes mots de passe aussi ?

C'est plutôt dans le cas où le "pirate" se connecte à un PC utilisateur et récupère ses identifiants.

"Le problème de https, c'est que le certificat n'est pas gratuit..."

Il en existe des gratuits par exemple startssl.

"Mais comment un pirate peut écouter un serveur à distance ?"

il peut utiliser un reseau wifi mal sécurisé.

"Cela veut dire que quand j'upload des fichiers sur mon FTP, comme il n'est pas en SSH, quelqu'un peut prendre mes mots de passe aussi ?"

Oui s'il est capable d'intercepter la communication.

Je vais me pencher sur startssl. Mais pourtant, le serveur qui héberge mon site n'est pas en wifi ?

Merci beaucoup pour ces réponses

Heureusement que le serveur est pas en Wifi

Par contre les clients peuvent l'être

Donc il n'est pas possible d'écouter toutes les communications entrantes et sortantes du serveur et voir les mots de passe de tout les utilisateurs.

j'ai pris un certificat sur startssl mais maintenant je ne sais pas comment l'installer sur ovh. Quelqu'un peut-il m'aider ?

https://www.startssl.com/?app=21

Ou alors c'est pas les méthodes GET qui posent ce problème ?

GET ou POST, peu importe. Si la connexion n'est pas sécurisée, alors elle est interceptable !

tsez a écrit:

https://www.startssl.com/?app=21

j'y suis allé mais dans mon serveur, je n'ai pas de fichier httpd.conf ou ssl.conf pour rajouter les lignes qu'ils me disent d'ajouter.

ok, comme je le dirais au début il faudrait que tu donnes bcp plus détails sur ce que tu veux faire et pourquoi.

Ensuite tu donnes des détails sur ton serveur : composants, versions, etc

je voudrais mettre mon site en https. Pour cela suite à tes conseils, j'ai pris un certificat chez startssl mais maintenant je voudrais l'installer pour que mon site soit en https. Je suis hébergé chez ovh, les serveurs sont des serveurs Apache. Je veux faire tout ça pour limiter les risques de vol de session et tout simplement pour sécuriser les échanges client --> serveur.

Tu as quoi comme fichier conf dans ton apache ? Il me faut aussi la version de apache installé.

il y a .bash_logout, .bash_profile, .bashrc, et .ovhconfig. Et je ne sais pas comment connaître la version de apache sur ovh

Putain, t'as aucune notion d'admin sys linux en fait...

httpd.conf devrait être dans /etc/apache2 ou quelque chose du genre.

EDIT : ce serait pas mal de se familiariser avec l'admin système avant de gérer des serveurs publics.

-
Edité par LoupSolitaire 17 mai 2015 à 15:19:23

il n'y a pas de /etc il n'y a qu'un dossier www . Je n'ai pas de serveur dédiés, j'ai juste 250gb d'espace pour héberger mon site.

Si t'as pas de dédié c'est pas à toi de gérer ça je suppose, ou si c'est le cas il doit y avoir une interface web pour le faire.

je vais demander au service client ovh car j'ai cherché dans l'interface web et e n'ai pas trouvé