• [^] # Re: Enregistrement des mots de passe

    Posté par (site web personnel) . En réponse à la dépêche Firefox zone en version 51. Évalué à 3.

    Donc je restreindrais l'utilisation du HTTP Basic Auth à des sites pour lesquels tu n'as pas besoin de te déconnecter.

    Personnellement, je l'ai mis en place sur le reverse proxy en tête d'un paquet de serveur web. Le RP est un serveur Apache n'ayant aucune extension. Pas de PHP, pas de Python... Évidement, c'est tout en https quand même.

    Coté sécurité, c'est peut être pas top mais vu le peu de ligne de code et de langage exposé, c'est peut être pas forcément pire qu'autre chose ? Associé à un petit fail2ban, on limite quand même les problèmes. Personnellement, l'authentification étant un élément central dans le web, c'est quand même mieux si le navigateur et le serveur web peuvent gérer tout cela sans que le développeur n'ait besoin de faire la moindre ligne coté serveur (PHP, Python...) ou client (Javascript).

    Bref, peut être que Mozilla et Apache pourrait travailler sur cette problématique de l'authentification afin d'intégrer en dur un truc bien robuste et régulièrement évaluer par des experts en sécurité.