450

GoldenCrystal (./449) :
Heu, http ou https c'est une histoire de protocole, et non pas de domaine, non ?
Ou bien y'a un truc que j'ai pas compris cheeky
Il me semble que quand t'es en https, le navigateur râle si tout le monde n'est pas au même niveau de sécurité sous le même certificat...
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

451

GoldenCrystal (./449) :
Heu, http ou https c'est une histoire de protocole, et non pas de domaine, non ?
Ou bien y'a un truc que j'ai pas compris cheeky
En fait quand tu as un site en HTTPS, avoir des element tiers venant de domaines en HTTP ça affaiblit la sécurité, c'est pour ça que la plupart des navigateurs commencent à afficher de gros avertissement, voire bloquer le contenu, en fonction du niveau de sécurité.
avatar

452

Tu peux avoir des éléments de sources différentes (donc des certificats différents), mais à partir du moment où un seul élément n'est pas en https, la page complète est considérée comme n'étant pas en https.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

453

Uther: commencent seulement? Hum IE5 sur les système 8 et 9 de l'OS des Macintosh le faisait deja, et je suis persuadé que IE le fait depuis au moins IE3.

Je ne sais pas pour Fx/Chrome mais c'est sur que IE le fait depuis longtemps.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

454

./451 > Oui je sais, mais Vince parlait de "domaines différents".
./450 > Effectivement, il y a peut-être un souci si certains domaines ont un moins bon certificat (de toutes façons Chrome affiche déjà un warning dans sont omnibar dans ce cas) mais sinon je ne crois pas qu'il y ait le moindre souci.
./452 > Par "considérée" tu parles du warning du navigateur ? Car hors "considération", le traffic HTTPS se fait toujours sur un canal HTTPS cheeky
./453 > Je me souviens de la pop-up chiante "attention vous allez passer en mode non sécurisé" (et réciproquement) sur IE6 au moins, mais par contre je me demande s'il y avait par défaut un warning pour les éléments non sécurisés.
Pour Chrome en tout cas, t'as un petit triangle jaune sur ton cadenas gris…
avatar
Le scénario de notre univers a été rédigée par un bataillon de singes savants. Tout s'explique enfin.
T'as un problème ? Tu veux un bonbon ?
[CrystalMPQ] C# MPQ Library/Tools - [CrystalBoy] C# GB Emulator - [Monoxide] C# OSX library - M68k Opcodes

455

GC: oui il y a(vais) un tel message "attention la page que vous allez afficher utiliser des elements non sécurisés"

Exemple: http://top.blogs.com/blog_web_etc/2008/02/page-securise.html
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

456

./452 > oui, c'est ça : par exemple sur Safari, le petit cadenas va être absent (en fait au début il est là — quand il n'a chargé que la page principale en HTTPS — puis va disparaître quand il charge un premier élément en HTTP). Mais évidemment, ça ne change rien aux communications.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

457

./455 > Ok merci, j'avais complètement oublié grin (En même temps ça fait un bout de temps que j'ai arrêté d'utiliser cette plaie ^^)
avatar
Le scénario de notre univers a été rédigée par un bataillon de singes savants. Tout s'explique enfin.
T'as un problème ? Tu veux un bonbon ?
[CrystalMPQ] C# MPQ Library/Tools - [CrystalBoy] C# GB Emulator - [Monoxide] C# OSX library - M68k Opcodes

458

Godzil (./453) :
ther: commencent seulement? Hum IE5 sur les système 8 et 9 de l'OS des Macintosh le faisait deja, et je suis persuadé que IE le fait depuis au moins IE3.Je ne sais pas pour Fx/Chrome mais c'est sur que IE le fait depuis longtemps.
Oui mais récemment les navigateurs vont plus loin que le petit message ou l’indicateur discret que tout le monde ignorait joyeusement.
Je sais que Firefox bloque désormais ce genre de contenu, et il me semble que les autres navigateur ont aussi durci les règles là-dessus.
avatar

459

Chrome (belle ironie ^^) bloque aussi ce cas.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

460

Les navigateurs deviennent de plus en plus cons sur ce point, et c'est absolument contreproductif parce que ça fait éviter le HTTPS entièrement aux sites concernés. Cf. aussi le cas des certificats self-signed.

Et leur "solution": interdire artificiellement les nouvelles fonctionnalités aux sites HTTP. mur
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

461

Kevin Kofler (./460) :
Les navigateurs deviennent de plus en plus cons sur ce point, et c'est absolument contreproductif parce que ça fait éviter le HTTPS entièrement aux sites concernés.
En quoi ?
Cf. aussi le cas des certificats self-signed.
bah évidemment, avec un certificat auto-signé comme ça, tu as la même sécurité qu'en HTTP de base… Tu peux tout à fait générer toi-même ton certificat et faire les choses proprement.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

462

flanker (./461) :
En quoi ?
HTTP: Le navigateur accepte sans broncher.
HTTPS (certificat non validé): Le navigateur refuse de charger la page, affiche un énorme avertissement à la place, et il faut au minimum 3-4 clics pour rajouter l'exception et recharger la page (et aussi, du coup, l'exception est automatiquement permanente).
Alors évidemment les sites choisissent l'alternative qui marche sans aucun avertissement, alors que la deuxième serait plus sure (parce qu'il faut une attaque active pour intercepter le traffic vs. une attaque passive dans le premier cas).
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

463

Pas vraiment parce que ton certificat autosigné sera invalide a moins que ton visiteur l'ai rajouté manuellement sur sa machine (et dans ce cas le problème ne se pose pas). Et avec un certificat invalide, tu n'as aucune garantie sur l'origine donc au final pas plus de garantie qu'avec pas de certificat du tout. Le certificat peut facilement être intercepté et substitué et tu n'en saura rien.
avatar

464

Kevin et? Tout le monde connais l'avantage du HTTPS vs HTTP, le *s garantit l'origine en plus d'encrypter.

Le cryptage est une chose, mais pas la seule raison du https. Et puis si les site décide de faire avec la bonne méthode qui est utiliser un tier de confiance pour dire "oui ce certificat est bien celui www.bidule.truc" c'est bien plus sur que juste crypter.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

465

Kevin Kofler (./462) :
flanker (./461) :
En quoi ?
HTTP: Le navigateur accepte sans broncher.
HTTPS (certificat non validé): Le navigateur refuse de charger la page, affiche un énorme avertissement à la place, et il faut au minimum 3-4 clics pour rajouter l'exception et recharger la page (et aussi, du coup, l'exception est automatiquement permanente).Alors évidemment les sites choisissent l'alternative qui marche sans aucun avertissement, alors que la deuxième serait plus sure (parce qu'il faut une attaque active pour intercepter le traffic vs. une attaque passive dans le premier cas).
À partir du moment où tu n'as aucune garantie sur l'origine du site à cause du certificat invalide, ça ne sert à rien de vouloir lui parler en chiffré… Si tu veux faire du certificat perso, c'est faisable proprement sans passer par l'acceptation automatique d'un certificat invalide.
Le problème n'est pas l'autosignature du certificat, c'est le fait qu'il soit *invalide* (parce que la chaîne de confiance est invalide) qui pose problème. Heureusement que les certificats invalides soient refusés par défaut.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

466

Moui... autant je défends le besoin d'utiliser des certificats signés, autant on a pu voir que les services délivrant de tels certificats ne sont, paradoxalement, pas tous dignes de confiance.
Tu m'étonnes après que certains (Firefox du moins) précisent QUI affirme que le certificat est valide.

Il me semblait qu'un service essayait de se développer pour simplifier la signature de certificat tout en la rendant gratuite, soutenu par la communauté du libre, dans le but de répandre rapidement et efficacement le HTTPS. Quelqu'un voit de quoi je parle ? ce favori est à mon boulot.
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

467

startssl, peut-être ?

après, répandre rapidement le HTTPS me semble être un peu contradictoire avec la sécurité ^^
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

468

Ah voilà : https://letsencrypt.org

Tiens, Q4 2015... la dernière fois que j'étais venu, c'était supposé être presque terminé ^^
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

469

Uther (./463) :
Pas vraiment parce que ton certificat autosigné sera invalide a moins que ton visiteur l'ai rajouté manuellement sur sa machine (et dans ce cas le problème ne se pose pas). Et avec un certificat invalide, tu n'as aucune garantie sur l'origine donc au final pas plus de garantie qu'avec pas de certificat du tout. Le certificat peut facilement être intercepté et substitué et tu n'en saura rien.
Tout ce que j'ai dit, c'est qu'il faut une attaque active (man in the middle) pour intercepter une connexion cryptée, même avec un certificat invalide (que l'attaque remplacera par un autre, invalide aussi), alors que pour le HTTP, un snooping passif suffit. Donc le HTTPS avec un certificat invalide est marginalement plus sûr. Et donc les navigateurs qui refusent le HTTPS avec un certificat invalide tout en laissant passer le HTTP sans le moindre avertissement font n'importe quoi.
Godzil (./464) :
Kevin et? Tout le monde connais l'avantage du HTTPS vs HTTP, le *s garantit l'origine en plus d'encrypter.
Le cryptage est une chose, mais pas la seule raison du https. Et puis si les site décide de faire avec la bonne méthode qui est utiliser un tier de confiance pour dire "oui ce certificat est bien celui www.bidule.truc" c'est bien plus sur que juste crypter.
Toi aussi, tu n'as pas compris mon argument, et je ne comprends pas trop ce que vous ne comprenez pas. Le comportement des navigateurs est illogique parce qu'il donne des avertissements de sécurité dans un cas (HTTPS avec certificat invalide) et pas dans un autre encore moins sûr (HTTP non crypté), et du coup les sites préfèrent le deuxième et le niveau de sécurité diminue au lieu d'augmenter comme voulu.
Meowcate (./468) :
Ah voilà : https://letsencrypt.org
Tiens, Q4 2015... la dernière fois que j'étais venu, c'était supposé être presque terminé ^^
https://letsencrypt.org/2015/08/07/updated-lets-encrypt-launch-schedule.html:
We can’t wait to see websites turn on TLS with Let’s Encrypt. Trust is our most important asset, however, and we need to take the necessary time to make sure our systems are secure and stable.We’ve decided to push our launch schedule back a bit to give us time to further improve our systems. Our new schedule is:
  • First certificate: Week of September 7, 2015
  • General availability: Week of November 16, 2015
Ça devrait résoudre le problème du coût des certificats et donc rendre le HTTPS plus populaire.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

470

Kevin Kofler (./469) :
Tout ce que j'ai dit, c'est qu'il faut une attaque active (man in the middle) pour intercepter une connexion cryptée, même avec un certificat invalide (que l'attaque remplacera par un autre, invalide aussi), alors que pour le HTTP, un snooping passif suffit. Donc le HTTPS avec un certificat invalide est marginalement plus sûr. Et donc les navigateurs qui refusent le HTTPS avec un certificat invalide tout en laissant passer le HTTP sans le moindre avertissement font n'importe quoi.
Je part du principe que dans la majorité des cas celui qui arrive à surveiller ta connexion sera aussi capable de l'intercepter. En tout cas au niveau de la protection du navigateur ca me parait logique de partir sur ce principe.
Le second problème c'est que même parmi ceux qui on des connaissances en informatique les notions de certificat sont généralement vagues, alors chez 99% des internautes, c'est juste du chinois. Et pour eux le https avec un certificat invalide risque fortement de donner une fausse impression de sécurité. La plupart des gens ne savent pas ce que signifier un certificat invalide et pensent que le fait d'avoir une connexion https suffit a être sécurisé.
avatar

471

Désolé mais pas besoin de faire une attaque active ou quoique ce soit, et encore moins de faire du MiM.

un simple redfat.com rethat.com redhatt.com avec des certificats autosigné permettrait de télécharger des distribution au chapeau rouge corrompue.

Sans compter des attaques type DNS spoof qui n'ont pas besoin d'être en MiM pour être faites ou tu redirige un bon vrai domaine vers l'IP de ton choix.

bref non comme toujours tu ne fois que 1% du probleme.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

472

(laissez tomber, j'ai déjà essayer d'expliquer ça par le passé, c'est peine perdue).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

473

Godzil (./471) :
un simple redfat.com rethat.com redhatt.com avec des certificats autosigné permettrait de télécharger des distribution au chapeau rouge corrompue.
Ça marche aussi sans problèmes avec du HTTP non crypté, accepté par les navigateurs sans broncher.
Sans compter des attaques type DNS spoof qui n'ont pas besoin d'être en MiM pour être faites ou tu redirige un bon vrai domaine vers l'IP de ton choix.
Là aussi, le HTTP non crypté est tout aussi vulnérable.

Je persiste et j'insiste, le HTTPS avec un certificat "invalide" n'est pas moins sûr que le HTTP non crypté, donc c'est idiot de le punir davantage comme le font les navigateurs.
bref non comme toujours tu ne fois que 1% du probleme.
Bref non, comme toujours, tu n'as pas pris la peine de chercher à comprendre mon argument, tu critiques juste parce que c'est moi et m'accuses à tort de mauvaise foi.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

474

Pour une fois je suis plutôt d'accord avec KK, et c'est un dialogue de sourd. Il répète ses arguments et vous répondez en boucle que les certificats auto-signés ne sont pas assez fiable, ce qu'il n'a jamais démenti ; ou voulez-vous que la discussion aille ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

475

Pour la simple raison que le cryptage pour le cryptage ca ne sert a rien, autant ne pas crypter, c'est donner l'impression que c'est sécurisé alors que ca ne l'est pas du tout.

Si les concepteurs de SSL ce sont fait chier a mettre en place les certificats ce n'est pas juste pour le plaisir de se faire chier.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

476

Retour en arrière, il a donné un cas de figure (écoute passive) dans lequel HTTPS sans certificat reste mieux que HTTP. On est tous d'accord qu'il y a 1001 façons de pirater une connexion HTTPS sans certificat mais dans *ce* cas de figure-là ça reste mieux que HTTP (et c'est loin d'être rare : je viens de passer 3 semaines à me connecter sur des hotspots WiFi non sécurisés, il était trivial d'écouter tout ce que j'y faisais dès que c'était en clair). Où est l'argument inverse, dans quel(s) cas est-ce qu'il serait préférable d'avoir du HTTP d'un point de vue sécurité ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

477

Zeph > désolé mais je trouve les arguments mauvais.

- se plaindre que les navigateurs ne râle pas pour le HTTP, c'est absurde. À part le jour où la quasi-totalité du Web sera en HTTPS, ça voudrait dire balancer des avertissements tout le temps, ce qui fait que plus personne n'y prêterait attention. D'ailleurs IE le fait (ou le faisait) par défaut : une simple recherche sur Google générait une boîte de dialogue "attention, les données du formulaires peuvent être lues par un tiers". Je ne connais personne qui n'ait pas coché la case "ne plus prévenir" illico.

- dans l'esprit des gens, https = cadenas = sécurisé. C'est peut-être regrettable, mais c'est un état de fait. Et il vaut mieux qu'un navigateur rejette un certificat auto-signé, plutôt qu'il l'accepte sans rien dire et laisse quelqu'un croire qu'un site de banque contrefait est sécurisé.

- un certificat ça ne sert pas qu'à protéger la confidentialité des données, ça sert aussi et surtout à savoir que tu t'adresses bien au site auquel tu penses et non pas à n'importe qui. Une autorité de certification qui signer n'importe quoi à n'importe qui, sans vérifier, est contre-productive.

- tolérer les certificats autosignés par défaut, ça ne ferait qu'encourager les sites à ne pas obtenir de "vrais" certificats, ce qui est dégrade la sécurité des utilisateurs. C'est pour la même raison que les protocoles de sécurité trop faibles finissent par ne plus être acceptés par les navigateurs.

- enfin, ça ne coûte pas grand-chose d'avoir un vrai certificat signé. Et pour ceux qui refusent de dépenser le moindre sou ou qui sont dans environnement privé, on peut toujours rajouter manuellement un certificat auto-signé dans la liste blanche du navigateur.

TL;DR : ça a autant de sens que de dire "pourquoi on avertit les gens à propos du WEP sur les réseaux Wifi, c'est mieux que tout balancer en clair !". Sur le papier oui, mais en pratique si tu te préoccupes réellement de sécurité, tu ne vas pas recommander des solutions bancales qui donnent un faux sentiment de sécurité aux gens.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

478

Pour la simple raison que si tu crypte, c'est que tu as des données sensibles a faire passer, et donc tu veux être sur que tes données arrivent dans les bonne mains et pas dans d'autres ?

Et crypter des informations qui sont affiché publiquement, quel est l'intérêt ? C'est de la perte de temps CPU de ton coté comme du coté du serveur. La crypto a un impact non négligeable, ne serait-ce parse que les algos sont de plus en plus fait pour être lent pour éviter la force brute.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

479

Kevin Kofler (./469) :
Le comportement des navigateurs est illogique parce qu'il donne des avertissements de sécurité dans un cas (HTTPS avec certificat invalide) et pas dans un autre encore moins sûr (HTTP non crypté), et du coup les sites préfèrent le deuxième et le niveau de sécurité diminue au lieu d'augmenter comme voulu.
Zeph (./476) :
Où est l'argument inverse, dans quel(s) cas est-ce qu'il serait préférable d'avoir du HTTP d'un point de vue sécurité ?

Cas n°1, HTTP : Tu rentres dans un bar, entrée libre, tout va bien.

Cas n°2, HTTPS certifié : Tu rentres dans un bar VIP, un videur inspecte les lieux, un professionnel ayant été formé aux techniques d'autodéfense et à repérer et maîtriser des situations malsaines.

Cas n°3, HTTPS autosigné : Le bar VIP est surveillé par le cousin du patron qui s'est fait virer de son boulot de docker. Il n'a aucune formation mais il a des gros bras, c'est la même chose.

Pour parler le Kevin, le HTTPS autosigné c'est l'équivalent de la centrale nucléaire qui refuse que des inspecteurs viennent s'assurer qu'elle est sûre, en annonçant qu'ils ont vérifié eux-même et tout va bien.
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

480

Si on continue ton analogie, alors le HTTP non crypté est l'équivalent de Tchernobyl, tout le monde sait que ce n'est pas sûr.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité