Bonjour,
Apparemment, des normes de sécurité vont évoluer prochainement.
Savez-vous si Xoops et OVH utilise déjà le certificat SHA-256 ?

A l'heure actuelle, Xoops utilise md5 (qui est vulnérable), après il sera très compliquer de mettre à jour les mots de passe md5 vers un autre type de protection.
Par contre pour un site neuf, il y a pas de soucis, on peut y faire des modifications pour renforcer la sécurité, y compris dans le cryptage des info

En fait , j'ai posé cette question suite à un message de Paypal (j'utilise OLEDRION):

Comme nous vous l'avons déjà annoncé, PayPal passe au certificat SHA-256 pour www.paypal.com. Ce point de terminaison est également utilisé par les marchands se servant du produit Notification instantanée de paiement (IPN).

Cette mise à niveau est prévue le 30/09/2015. Cependant, nous serons peut-être amenés à modifier cette date au pied levé pour respecter la norme de sécurité du secteur.

Vous recevez cette notification car vous avez été identifié comme un marchand ayant utilisé les points de terminaison IPN au cours de l'année passée. Si vous n'avez pas effectué les modifications nécessaires, nous vous invitons à procéder à ces changements immédiatement afin d'éviter toute interruption de votre service.

ici c'est différent, cela n'a rien à voir avec Xoops, ils veulent que la liaison utilisée utilise le protocole SHA-256, donc cela dépend de ton hébergement, si le protocole SHA-256 est activé en SSL (après ça dépendra aussi du navigateur du visiteur)

Merci
Je vais demander à mon hébergeur si le protocole SHA-256 est activé en SSL...

D'après Richard, Xoops 2.6.0 sera testé sous tous les environnements https, incluant le certificat SHA-256.

Bonsoir Cesag,
Cédric m'a dit de me diriger vers mon hébergeur (OVH en perso):
Je lui ai posé la question cet après-midi, j'attends sa réponse pour le début de semaine prochaine...
Je suis sous 2.5.6.
Sais-tu pour quand sera 2.6 ?
P.S.: si je peux me permettre, tu as mis ta photo en avatar, c'est sympa, il n'y a pas beaucoup de femmes ici, ça change

L'utilisation des protocoles est gérée, en général, par openSSL, c'est lui qui assure le bon fonctionnement et c'est dans le fichier de configuration d'openSSL qu'on active ou désactive tel ou tel protocole.

Ici, Xoops ne joue pas dans la liaison avec l'API de Paypal, l'hébergement doit juste être capable de recevoir et de comprendre la transaction retour qui sera cryptée en SHA-256 (c'est le rôle d'openSSL).

Oui j'avais bien compris l'histoire, mais j'en ai profité pour voir ce que Richard dirait concernant Xoops 2.6.0, qui sortira, je le redis, plus vite, lorsque le plus de gens possible participeront aux tests.

Concernant mon avatar, merci, en plus tu as vu je fais la grimace (mange une glace ).
Je l'ai sur Facebook aussi (voir mon profil) donc je m'en fou, c'est ma tête et voilà, hehe.

Sinon, mon pseudo c'est Cesagonchu maintenant !