Tu peux avoir des éléments de sources différentes (donc des certificats différents), mais à partir du moment où un seul élément n'est pas en https, la page complète est considérée comme n'étant pas en https.
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Uther: commencent seulement? Hum IE5 sur les système 8 et 9 de l'OS des Macintosh le faisait deja, et je suis persuadé que IE le fait depuis au moins IE3.
Je ne sais pas pour Fx/Chrome mais c'est sur que IE le fait depuis longtemps.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Chrome (belle ironie ^^) bloque aussi ce cas.
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turbo Uther Le 30/08/2015 à 17:36Edité par Uther le 30/08/2015 à 19:12 Pas vraiment parce que ton certificat autosigné sera invalide a moins que ton visiteur l'ai rajouté manuellement sur sa machine (et dans ce cas le problème ne se pose pas). Et avec un certificat invalide, tu n'as aucune garantie sur l'origine donc au final pas plus de garantie qu'avec pas de certificat du tout. Le certificat peut facilement être intercepté et substitué et tu n'en saura rien.
Kevin et? Tout le monde connais l'avantage du HTTPS vs HTTP, le *s garantit l'origine en plus d'encrypter.
Le cryptage est une chose, mais pas la seule raison du https. Et puis si les site décide de faire avec la bonne méthode qui est utiliser un tier de confiance pour dire "oui ce certificat est bien celui www.bidule.truc" c'est bien plus sur que juste crypter.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Moui... autant je défends le besoin d'utiliser des certificats signés, autant on a pu voir que les services délivrant de tels certificats ne sont, paradoxalement, pas tous dignes de confiance.
Tu m'étonnes après que certains (Firefox du moins) précisent QUI affirme que le certificat est valide.
Il me semblait qu'un service essayait de se développer pour simplifier la signature de certificat tout en la rendant gratuite, soutenu par la communauté du libre, dans le but de répandre rapidement et efficacement le HTTPS. Quelqu'un voit de quoi je parle ? ce favori est à mon boulot.
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »
— Legion, geth trolleur à portée galactique
startssl, peut-être ?
après, répandre rapidement le HTTPS me semble être un peu contradictoire avec la sécurité ^^
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Désolé mais pas besoin de faire une attaque active ou quoique ce soit, et encore moins de faire du MiM.
un simple redfat.com rethat.com redhatt.com avec des certificats autosigné permettrait de télécharger des distribution au chapeau rouge corrompue.
Sans compter des attaques type DNS spoof qui n'ont pas besoin d'être en MiM pour être faites ou tu redirige un bon vrai domaine vers l'IP de ton choix.
bref non comme toujours tu ne fois que 1% du probleme.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
(laissez tomber, j'ai déjà essayer d'expliquer ça par le passé, c'est peine perdue).
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turbo Zeph Le 30/08/2015 à 23:53 Pour une fois je suis plutôt d'accord avec KK, et c'est un dialogue de sourd. Il répète ses arguments et vous répondez en boucle que les certificats auto-signés ne sont pas assez fiable, ce qu'il n'a jamais démenti ; ou voulez-vous que la discussion aille ?
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
Pour la simple raison que le cryptage pour le cryptage ca ne sert a rien, autant ne pas crypter, c'est donner l'impression que c'est sécurisé alors que ca ne l'est pas du tout.
Si les concepteurs de SSL ce sont fait chier a mettre en place les certificats ce n'est pas juste pour le plaisir de se faire chier.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Zeph Le 31/08/2015 à 00:00 Retour en arrière, il a donné un cas de figure (écoute passive) dans lequel HTTPS sans certificat reste mieux que HTTP. On est tous d'accord qu'il y a 1001 façons de pirater une connexion HTTPS sans certificat mais dans *ce* cas de figure-là ça reste mieux que HTTP (et c'est loin d'être rare : je viens de passer 3 semaines à me connecter sur des hotspots WiFi non sécurisés, il était trivial d'écouter tout ce que j'y faisais dès que c'était en clair). Où est l'argument inverse, dans quel(s) cas est-ce qu'il serait préférable d'avoir du HTTP d'un point de vue sécurité ?
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
Zerosquare Le 31/08/2015 à 00:05Edité par Zerosquare le 31/08/2015 à 00:24 Zeph > désolé mais je trouve les arguments mauvais.
- se plaindre que les navigateurs ne râle pas pour le HTTP, c'est absurde. À part le jour où la quasi-totalité du Web sera en HTTPS, ça voudrait dire balancer des avertissements tout le temps, ce qui fait que plus personne n'y prêterait attention. D'ailleurs IE le fait (ou le faisait) par défaut : une simple recherche sur Google générait une boîte de dialogue "attention, les données du formulaires peuvent être lues par un tiers". Je ne connais personne qui n'ait pas coché la case "ne plus prévenir" illico.
- dans l'esprit des gens, https = cadenas = sécurisé. C'est peut-être regrettable, mais c'est un état de fait. Et il vaut mieux qu'un navigateur rejette un certificat auto-signé, plutôt qu'il l'accepte sans rien dire et laisse quelqu'un croire qu'un site de banque contrefait est sécurisé.
- un certificat ça ne sert pas qu'à protéger la confidentialité des données, ça sert aussi et surtout à savoir que tu t'adresses bien au site auquel tu penses et non pas à n'importe qui. Une autorité de certification qui signer n'importe quoi à n'importe qui, sans vérifier, est contre-productive.
- tolérer les certificats autosignés par défaut, ça ne ferait qu'encourager les sites à ne pas obtenir de "vrais" certificats, ce qui est dégrade la sécurité des utilisateurs. C'est pour la même raison que les protocoles de sécurité trop faibles finissent par ne plus être acceptés par les navigateurs.
- enfin, ça ne coûte pas grand-chose d'avoir un vrai certificat signé. Et pour ceux qui refusent de dépenser le moindre sou ou qui sont dans environnement privé, on peut toujours rajouter manuellement un certificat auto-signé dans la liste blanche du navigateur.
TL;DR : ça a autant de sens que de dire "pourquoi on avertit les gens à propos du WEP sur les réseaux Wifi, c'est mieux que tout balancer en clair !". Sur le papier oui, mais en pratique si tu te préoccupes réellement de sécurité, tu ne vas pas recommander des solutions bancales qui donnent un faux sentiment de sécurité aux gens.
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboPour la simple raison que si tu crypte, c'est que tu as des données sensibles a faire passer, et donc tu veux être sur que tes données arrivent dans les bonne mains et pas dans d'autres ?
Et crypter des informations qui sont affiché publiquement, quel est l'intérêt ? C'est de la perte de temps CPU de ton coté comme du coté du serveur. La crypto a un impact non négligeable, ne serait-ce parse que les algos sont de plus en plus fait pour être lent pour éviter la force brute.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Si on continue ton analogie, alors le HTTP non crypté est l'équivalent de Tchernobyl, tout le monde sait que ce n'est pas sûr.