Je n'ai pas testé récemment faute de site concerné (le certificat d'Agilent est accepté comme valide par l'actuel paquetage ca-certificates de Fedora), mais la dernière fois que j'ai testé avec Falkon sur un site avec HSTS activé et un certificat invalide, je n'ai même pas eu besoin de rajouter une exception, juste de cliquer sur OK, c'est beaucoup plus pratique que Firefox qui refuse même de rajouter une exception dans ce cas!
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Pourtant Firefox a raison , c’est le but et principe même du HSTS: refuser s’ouvrir le site si le certificat est invalide, et ce de manière complète: aka pas moyen de bypasser.


Zéro: la raison est aussi que beaucoup d’utilisateur bypassent l’erreur de certificat sans réfléchir et trouve ça normal, c’est surtout ça la raison du HSTS
avatarProud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Kevin >
1) Donc HSTS n'est pas implémenté correctement dans ton navigateur préféré. CQFD.

2) Un certificat invalide est déjà une situation anormale, et ça l'est encore plus sur un site qui utilise HSTS. Si ça se produit, c'est que :
- soit celui qui gère le site n'a pas fait son boulot, et c'est lui qu'il faut blâmer
- soit quelqu'un est en train de faire une attaque man-in-the-middle, et dans ces cas-là tu n'as vraiment pas intérêt à ignorer l'avertissement

(cross, je répondais à Kevin)
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
pencil
avatarProud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Zerosquare (./3482) :
1) Donc HSTS n'est pas implémenté correctement dans ton navigateur préféré. CQFD.
Le concept de logiciel libre signifie de toujours laisser le dernier choix à l'utilisateur, quoique dise la spécification.

2) Un certificat invalide est déjà une situation anormale, et ça l'est encore plus sur un site qui utilise HSTS. Si ça se produit, c'est que :
- soit celui qui gère le site n'a pas fait son boulot, et c'est lui qu'il faut blâmer
- soit quelqu'un est en train de faire une attaque man-in-the-middle, et dans ces cas-là tu n'as vraiment pas intérêt à ignorer l'avertissement
… soit le navigateur décide arbitrairement de refuser les certificats d'une CA très répandue qui a racheté plusieurs marques très populaires. roll

Et en ce qui concerne le MITM, il existe des entreprises où tout le trafic HTTP et HTTPS est obligatoirement scanné par le proxy et où tu ne peux donc pas te connecter en HTTPS sans MITM. (Le firewall bloque les connexions directes.) Si le navigateur ne te permet pas d'accepter le certificat bidon du proxy, il est inutilisable dans ces entreprises.
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Kevin Kofler (./3484) :
… soit le navigateur décide arbitrairement de refuser les certificats d'une CA très répandue qui a racheté plusieurs marques très populaires. roll
Tu as lu la page qui explique pourquoi Mozilla a pris cette décision, avant de dire que c'était arbitraire ?

Kevin Kofler (./3484) :
Et en ce qui concerne le MITM, il existe des entreprises où tout le trafic HTTP et HTTPS est obligatoirement scanné par le proxy et où tu ne peux donc pas te connecter en HTTPS sans MITM. (Le firewall bloque les connexions directes.) Si le navigateur ne te permet pas d'accepter le certificat bidon du proxy, il est inutilisable dans ces entreprises.
Oui, et dans ces entreprises, il y a un navigateur préinstallé par l'administrateur, avec le certificat de l'entreprise ajouté en liste blanche.

M'enfin c'est quand même rigolo de voir comment ton anti-Mozillisme te fait défendre des boîtes comme Symantec et celles qui font du MITM sur leurs salariés, alors qu'en temps normal tu les traiterais de tous les noms hehe
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Ces entreprises font de la merde, mais un logiciel vraiment libre ne les empêche pas de le faire. Il est censé accorder "la liberté de faire fonctionner le programme comme vous voulez, pour n'importe quel usage".
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Source?
avatarProud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Kevin Kofler (./3484) :
Le concept de logiciel libre signifie de toujours laisser le dernier choix à l'utilisateur
C'est l'auteur de TIGCC/Emu-tigcc qui dit ça ? grin
avatar<<< Kernel Extremist©®™ >>>
Feel the power of (int16) !
Folco (./3488) :
Kevin Kofler (./3484) :
Le concept de logiciel libre signifie de toujours laisser le dernier choix à l'utilisateur
C'est l'auteur de TIGCC/Emu-tigcc qui dit ça ? grin
(t'as oublié hwpatch)
avatarWebmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca
Vous vous plaignez toujours qu'un patch qui sert exclusivement pour modifier un système d'exploitation non-libre et qui peut être supprimé après installation est non-libre? #troll# mur
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Sincèrement, c'est une blague Kevin... Tu te rends compte de l'énormité de ce que tu dis ?! Remarque, ça recoupe ce que tu dis sur le stalinisme : tu es prêt à accepter qu'un organisme t'espionne si c'est pour ta liberté trigic
D'autant que tu dis de la merde...
Kevin Kofler (./3486) :
Ces entreprises font de la merde, mais un logiciel vraiment libre ne les empêche pas de le faire. Il est censé accorder "la liberté de faire fonctionner le programme comme vous voulez, pour n'importe quel usage".
Mozilla ne t'interdit pas de prendre le source et de le recompiler (parce que pour le coup, je me demande vraiment comment tu peux faire pour utiliser n'importe quel programme pour, disons... te faire une pizza ? lorsqu'il n'est pas prévu pour ça à la base...).
D'autant que... ben tu peux quand-même t'en sortir en trichant :
avatar
Comme j'ai passé beaucoup de temps sur une connerie spécifique à Firefox, je me suis un peu lâché en remplissant le commit suivant dans ma boîte.
Pour le bug, en gros, si on enregistre ses infos à la connexion avec le formulaire des mots de passe, si on ouvre un formulaire susceptible de contenir un champ de type mot de passe (user bien sûr, mais aussi des comptes différents), Firefox préremplit les infos de connexion enregistrées dans des champs qui n'ont aucun rapport.

ref #57348 - Firefox préremplit le formulaire Lecteur avec les infos de connexion de l'utilisateur

Si l'on valide "Enregistrer le mot de passe" en se connectant à [produit d'entreprise], le formulaire du lecteur voyait le champ "Mot de passe" préremplit avec le mot de passe enregistré de l'utilisateur, et le premier champ text le précédent préremplit avec le username. Cela ne se passait que si ce champ précédent était vide, ce qui est le cas pour certains lecteurs enregistrés, et pour tout formulaire de nouveau lecteur.

Ce "bug" est connu de longue date (11 ans quand même, ça remonte à Firefox 3) par Mozilla et est taggé WONTFIX chaque fois qu'il est signalé, parce que le fait que le gestionnaire de mots de passe fasse de la merde en choisissant tout seul où ces identifiants devraient être pré-remplis est le "comportement normal". Et ce même si le champ est en autocomplete="off".

Les autres navigateurs, moins cons, se demandent si les name des champs sont pertinents pour du pré-remplissage, donc le bug ne les concernaient pas.

Une solution a été trouvée : ajouter deux champs (text et password), obligatoirement avant le premier champ password qui peut exister, en display:none pour ne pas être soumis à l'envoi, dont le seul intérêt d'existence est d'intercepter le pré-remplissage de Firefox.

En somme, ils ne sont rien de plus que des leurres pour un gestionnaire de mots de passe à l'attitude d'un code bourré. "Méééé, puizque ze te dis que c'est là que ze dois remplir le mot de pazze... zé pas le même nom ? zé pas grave... Et puis zau dezzus ze dois remplir le username... y'a marqué quoi ? Lieu de délivrance ? zé pas grave, si zé au-dessus du mot de pazze zé le username ! Et za zé quoi ? autocomplete ? boaaah, zans doute un hack Google Chrome qui rezpecte même pas le W3C. On ignore za."
avatar« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique
Et voilà, c'est le rendu du texte avec le dernier Chrome mis à jour (depuis cette update donc) :

UWeZ

Regardez moi cette belle utilisation du subpixel pour un texte net et…

w9DY

C'est incroyable quand même. Après nous avoir infesté de leur rendu de texte immonde avec Electron, ils font encore pire sur desktop, et n'ont même pas le QA / utilisateurs assez perfectionnistes, pour se rendre compte du souci avant qu'il arrive dans la version Stable 😡 (donc plusieurs mois)
avatarHighway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741
T'as fait un bug report ?
dehors
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Kevin Kofler (./3486) :
Ces entreprises font de la merde, mais un logiciel vraiment libre ne les empêche pas de le faire. Il est censé accorder "la liberté de faire fonctionner le programme comme vous voulez, pour n'importe quel usage".
Tu interprètes complètement de travers la liberté zéro du libre.

Elle signifie que tu ne peux lier le droit d'utilisation du logiciel a certaines condition d'usage. Par exemple un navigateur n'est pas libre s'il est interdit de l'utiliser dans des voitures capitalistes à kernel nucléaire.

Cette liberté ne contraint pas les fonctionnalités de l'application elle même. Et heureusement parce qu'un logiciel ne peux tout simplement en soi permettre tous les usages, certains étant incompatibles entre eux. Dans le cas présent, la capacité de voir n’importe quelle page n'est pas compatible avec la capacité de naviguer de manière sécurisée sachant que la très grande majorité des utilisateurs ne sont pas des experts de sécurité capable de mesurer le risque d'un problème de certificat.

Mozilla est parfaitement libre des fonctionnalités que gère son navigateur, et si son comportement ne te convient pas tu as des sources qui te permettent de modifier le comportement.
avatar
(c'est rigolo de voir à quel point Kevin ne comprend pas ce qu'il prétend défendre bec et ongles, hein ? hehe)
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Brunni (./3493) :
C'est incroyable quand même. Après nous avoir infesté de leur rendu de texte immonde avec Electron, ils font encore pire sur desktop, et n'ont même pas le QA / utilisateurs assez perfectionnistes, pour se rendre compte du souci avant qu'il arrive dans la version Stable 😡 (donc plusieurs mois)
Le rendu de texte d'Electron est exactement le même que celui de Chrome.

Uther (./3495) :
Tu interprètes complètement de travers la liberté zéro du libre.

Elle signifie que tu ne peux lier le droit d'utilisation du logiciel a certaines condition d'usage. Par exemple un navigateur n'est pas libre s'il est interdit de l'utiliser dans des voitures capitalistes à kernel nucléaire.

Cette liberté ne contraint pas les fonctionnalités de l'application elle même. Et heureusement parce qu'un logiciel ne peux tout simplement en soi permettre tous les usages, certains étant incompatibles entre eux. Dans le cas présent, la capacité de voir n’importe quelle page n'est pas compatible avec la capacité de naviguer de manière sécurisée sachant que la très grande majorité des utilisateurs ne sont pas des experts de sécurité capable de mesurer le risque d'un problème de certificat.

Mozilla est parfaitement libre des fonctionnalités que gère son navigateur, et si son comportement ne te convient pas tu as des sources qui te permettent de modifier le comportement.
Certes, cette liberté est avant tout une histoire de licence, et certes, rien ne nous empêche de modifier Firefox pour fonctionner normalement. Donc oui, il est probablement conforme à la lettre de la définition du libre (du moins si on met de côté les histoires de marque déposée qui limitent la distribution de versions modifiées). Mais mettre exprès des fonctionnalités dans le navigateur qui limitent artificiellement ce que l'utilisateur peut faire (pas le droit de contourner HSTS même si le site est configuré incorrectement et ne peut donc plus être affiché, pas le droit d'installer des extensions non signées par Mozilla etc.), même si c'est au nom de la "sécurité" (le système totalement fermé des i* de Apple est aussi en ce nom! Ce n'est pas une excuse valable), va clairement à l'encontre de l'esprit. Un logiciel censé n'avoir pas de restrictions d'utilisation n'a pas à en imposer artificiellement par le code du logiciel, même s'il est modifiable.

Il est évident qu'un logiciel ne peut pas tout faire (comme votre exemple du navigateur auquel on demande de faire le café) et qu'il peut exister des limitations techniques. Mais là, il s'agit d'une restriction purement artificielle, rajoutée exprès pour limiter ce que l'utilisateur peut faire avec le logiciel. Il n'y a aucune contrainte technique qui oblige d'avoir cette limitation, ni s'agit-il tout simplement d'une fonctionnalité non implémentée, mais la limitation a au contraire nécessité de rajouter du code supplémentaire juste pour ça! (La même chose est valable pour les histoires de signatures d'extensions.) Ce n'est pas à l'ordinateur de dicter ce que l'utilisateur a le droit de faire, mais l'inverse!

Et je suis toujours contre ce genre de limitations artificielles, même si elles ne viennent pas de Mozilla!
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Donc tu penses (par exemple) que l'utilisateur d'un navigateur devrait pouvoir, pour sa liberté, réaliser les requêtes HTTP manuellement en Telnet, par exemple ? Que c'est une régression de ne pas pouvoir le faire ? Qu'un bon navigateur devrait pouvoir le permettre ?
avatar
Ce serait une fonctionnalité debug intéressante, mais ce n'est pas comparable, parce que ce serait une fonctionnalité supplémentaire que quelqu'un devrait coder. Là, je parle uniquement de supprimer les restrictions artificielles qui nécessitent au contraire du code supplémentaire! Je leur demande juste de supprimer du code, pas d'en rajouter!
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Euh non, l'implémentation de HSTS est nécessaire aujourd'hui. Le bypasser nécessite du code spécifique pour passer outre.
avatar
Le code pour rajouter une exception aux vérifications de certificats existe déjà, il suffit de supprimer le code spécifique qui empêche de le faire pour un site en HSTS.
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Kevin Kofler (./3502) :
Le code pour rajouter une exception aux vérifications de certificats existe déjà, il suffit de supprimer le code spécifique qui empêche de le faire pour un site en HSTS.
du coup tu peux forker, donc y'a pas de pb smile
avatarWebmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca
Kevin Kofler (./3502) :
Le code pour rajouter une exception aux vérifications de certificats existe déjà, il suffit de supprimer le code spécifique qui empêche de le faire pour un site en HSTS.
Ben non, ça c'est le comportement attendu ; si tu veux le bypasser, il faut ajouter une option dans about:config, donc une exception au comportement attendu.
avatar
Kevin Kofler (./3498) :
Certes, cette liberté est avant tout une histoire de licence, et certes, rien ne nous empêche de modifier Firefox pour fonctionner normalement.
Non non et non. Ne pas respecter le HSTS n'est pas "fonctionner normalement" bien au contraire.

Hint, le premier S signifie STRICT

Comme apriori tes capacités googlesques sont a 0 voila un peu d'aide:

Voici ce que dit Wikipedia:

HTTP Strict Transport Security (HSTS) is a web security policy mechanism that helps to protect websites against protocol downgrade attacks and cookie hijacking. It allows web servers to declare that web browsers (or other complying user agents) should interact with it using only secure HTTPS connections, and never via the insecure HTTP protocol. HSTS is an IETF standards track protocol and is specified in RFC 6797.

Attention c'est en anglais, probablement une langue que tu ne maitrise pas.
Et il y a meme une RFC a ce sujet: https://tools.ietf.org/html/rfc6797

Extrait:


2.4.1.1. Detailed Core Requirements
[...]
7. UAs need to prevent users from "clicking through" security
warnings.
Halting connection attempts in the face of secure
transport exceptions is acceptable. See also Section 12.1 ("No
User Recourse").
[...]
12.1. No User Recourse

Failing secure connection establishment on any warnings or errors
(per Section 8.4 ("Errors in Secure Transport Establishment")) should
be done with "no user recourse". This means that the user should not
be presented with a dialog giving her the option to proceed. Rather,
it should be treated similarly to a server error where there is
nothing further the user can do with respect to interacting with the
target web application, other than wait and retry.

Essentially, "any warnings or errors" means anything that would cause
the UA implementation to announce to the user that something is not
entirely correct with the connection establishment.

Not doing this, i.e., allowing user recourse such as "clicking
through warning/error dialogs", is a recipe for a man-in-the-middle
attack. If a web application issues an HSTS Policy, then it is
implicitly opting into the "no user recourse" approach, whereby all
certificate errors or warnings cause a connection termination, with
no chance to "fool" users into making the wrong decision and
compromising themselves.
avatarProud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
D'un, la possibilité de rajouter une exception dans un dialogue qui n'est pas un clickthrough, mais nécessite d'aller dans un dialogue séparé, rajouter une exception, puis recharger la page, comme Firefox l'impose de toute façon, n'est pas interdite par la lettre de cette spécification.
De deux, le concept de "no user recourse" est incompatible avec l'esprit du logiciel libre. Pour moi, l'ordinateur doit obéïr avant tout à son utilisateur ou son utilisatrice, quoiqu'essaie d'imposer un standard totalitaire.
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Kevin Kofler (./3506) :

De deux, le concept de "no user recourse" est incompatible avec l'esprit du logiciel libre. Pour moi, l'ordinateur doit obéïr avant tout à son utilisateur ou son utilisatrice, quoiqu'essaie d'imposer un standard totalitaire.
Dixit celui qui kickait ceux qui n'étaient pas en UTF8.
Vraiment, t'es un bot, un troll ou t'as des soucis avec la logique ?


(Du coup, à tes yeux, le https ne sert à rien et l'usurpation d'identité est un bénéfice pour la société ?)
avatar
Non mais ne cherchez pas :
- quand c'est Firefox, il est inadmissible que l'utilisateur doive changer une option (ne parlons même pas de recompiler ou de forker) avant de faire n'importe quoi
- quand c'est HW3patch, il ne publie même pas les sources, parce que "sinon les utilisateurs feraient n'importe quoi" tritop

En fait ça n'a rien à voir avec les libertés, c'est juste que Kevin cherche une raison pour cracher sur Firefox, juste parce que ce n'est pas son Konqueror chéri.
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Alors qu'il y tellement de bonne raisons de dire que Fx est pourri :/

Autant la c'est tres tres loin d'etre une raison valable.
avatarProud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
si il est pas content il a qu a écrire un Fx61Patch