Sécurité du site HTTPS et authentification

Bonjour,

Utilisateurs de VisuGPX depuis quelques semaines je tenais tout d'abord a vous remercier pour ce super travail que vous avez fait, les fonctionnalités correspondent exactement à mes besoins et le site est très réactif.

Utilisateur de solutions opensource, je suis ravi d'avoir un service efficace se basant en partie sur openstreetmap.

Mon point de remarques concernera donc plutôt la partie sécurité.

1/ Le site n'est pas accessible en HTTPS.
Pour des questions de sécurité notamment au moment de l'authentification, le https serait un plus non négligeable. Aujourd’hui il existe des services gratuits type https://letsencrypt.org/ qui sont assez souples de mise en place et qui permettent de mettre en place du service à moindres frais.

2/ Toujours au niveau de l'authentification il y a deux points qui me chagrinent,
Le premier mon navigateur (IE comme Firefox) ne me propose pas de retenir le mot de passe lorsque que je me connecte. je ne sais pas quelle fonction PHP ou javascript permet cela, mais aujourd'hui en vu de l'utilisation d'un gestionnaire de mot de passe ça me semble une fonction essentielle.
Le deuxième quand je tape mon mot de passe, celui-ci apparaît en claire dans le champ de mot de passe. Chose qui me gêne un peu si un utilisateur se trouve derrière moi et donc peut voir mon mot de passe saisi. Remplacer le mot de passe par des étoiles au moment de la frappe me semble une bonne idée, qui à laisser comme le font certains sites un case voir le mot de passe saisi qui révélera les étoiles à la demande de l'utilisateur.

3/ Dernier point qui n'a rien a voir avec la sécurité en revenant sur le choix des cartes. il pourrait être sympa dans les préférences de compte utilisateur de laisser le choix du fond de carte part défaut (Google, OSM , IGN ... ) vous pouvez donner cette option uniquement aux membres premium par exemple ce qui fera une différence complémentaire et ça me fera une raison plus que valable selon moi de vous sponsoriser de cette façon.

En espérant avoir fait des remarques constructives, je suis à votre disposition pour échanger sur ces quelques points.

Cordialement.

Bonjour,

1/ Je viens de passer VisuGPX en HTTPS !
2/ Le mot de passe n’apparait plus en clair, c'était une erreur de code
3/ La connexion se fait de façon asynchrone via javascript, donc effectivement les navigateurs ne proposent pas de retenir le mot de passe directement. Alternative : remplir les champs de connexion, et ne pas cliquer sur valider, mais demander une autre page : le navigateur devrait ouvrir l'invitation d'enregistrement du mot de passe
4/ c'est une option, j'y réfléchis.

Bonjour,

1/ Quelle réactivité !
2/ Idem Merci
3/ Merci pour l'astuce ça marche en effet.
4/ Wait and see alors 😄:

Cordialement.