Zerosquare (./3482) :Le concept de logiciel libre signifie de toujours laisser le dernier choix à l'utilisateur, quoique dise la spécification.
1) Donc HSTS n'est pas implémenté correctement dans ton navigateur préféré. CQFD.
2) Un certificat invalide est déjà une situation anormale, et ça l'est encore plus sur un site qui utilise HSTS. Si ça se produit, c'est que :… soit le navigateur décide arbitrairement de refuser les certificats d'une CA très répandue qui a racheté plusieurs marques très populaires.
- soit celui qui gère le site n'a pas fait son boulot, et c'est lui qu'il faut blâmer
- soit quelqu'un est en train de faire une attaque man-in-the-middle, et dans ces cas-là tu n'as vraiment pas intérêt à ignorer l'avertissement
Kevin Kofler (./3484) :Tu as lu la page qui explique pourquoi Mozilla a pris cette décision, avant de dire que c'était arbitraire ?
… soit le navigateur décide arbitrairement de refuser les certificats d'une CA très répandue qui a racheté plusieurs marques très populaires.
Kevin Kofler (./3484) :Oui, et dans ces entreprises, il y a un navigateur préinstallé par l'administrateur, avec le certificat de l'entreprise ajouté en liste blanche.
Et en ce qui concerne le MITM, il existe des entreprises où tout le trafic HTTP et HTTPS est obligatoirement scanné par le proxy et où tu ne peux donc pas te connecter en HTTPS sans MITM. (Le firewall bloque les connexions directes.) Si le navigateur ne te permet pas d'accepter le certificat bidon du proxy, il est inutilisable dans ces entreprises.
Kevin Kofler (./3484) :C'est l'auteur de TIGCC/Emu-tigcc qui dit ça ?
Le concept de logiciel libre signifie de toujours laisser le dernier choix à l'utilisateur
Folco (./3488) :(t'as oublié hwpatch)Kevin Kofler (./3484) :C'est l'auteur de TIGCC/Emu-tigcc qui dit ça ?
Le concept de logiciel libre signifie de toujours laisser le dernier choix à l'utilisateur
Kevin Kofler (./3486) :Mozilla ne t'interdit pas de prendre le source et de le recompiler (parce que pour le coup, je me demande vraiment comment tu peux faire pour utiliser n'importe quel programme pour, disons... te faire une pizza ? lorsqu'il n'est pas prévu pour ça à la base...).
Ces entreprises font de la merde, mais un logiciel vraiment libre ne les empêche pas de le faire. Il est censé accorder "la liberté de faire fonctionner le programme comme vous voulez, pour n'importe quel usage".
ref #57348 - Firefox préremplit le formulaire Lecteur avec les infos de connexion de l'utilisateur
Si l'on valide "Enregistrer le mot de passe" en se connectant à [produit d'entreprise], le formulaire du lecteur voyait le champ "Mot de passe" préremplit avec le mot de passe enregistré de l'utilisateur, et le premier champ text le précédent préremplit avec le username. Cela ne se passait que si ce champ précédent était vide, ce qui est le cas pour certains lecteurs enregistrés, et pour tout formulaire de nouveau lecteur.
Ce "bug" est connu de longue date (11 ans quand même, ça remonte à Firefox 3) par Mozilla et est taggé WONTFIX chaque fois qu'il est signalé, parce que le fait que le gestionnaire de mots de passe fasse de la merde en choisissant tout seul où ces identifiants devraient être pré-remplis est le "comportement normal". Et ce même si le champ est en autocomplete="off".
Les autres navigateurs, moins cons, se demandent si les name des champs sont pertinents pour du pré-remplissage, donc le bug ne les concernaient pas.
Une solution a été trouvée : ajouter deux champs (text et password), obligatoirement avant le premier champ password qui peut exister, en display:none pour ne pas être soumis à l'envoi, dont le seul intérêt d'existence est d'intercepter le pré-remplissage de Firefox.
En somme, ils ne sont rien de plus que des leurres pour un gestionnaire de mots de passe à l'attitude d'un code bourré. "Méééé, puizque ze te dis que c'est là que ze dois remplir le mot de pazze... zé pas le même nom ? zé pas grave... Et puis zau dezzus ze dois remplir le username... y'a marqué quoi ? Lieu de délivrance ? zé pas grave, si zé au-dessus du mot de pazze zé le username ! Et za zé quoi ? autocomplete ? boaaah, zans doute un hack Google Chrome qui rezpecte même pas le W3C. On ignore za."
Kevin Kofler (./3486) :Tu interprètes complètement de travers la liberté zéro du libre.
Ces entreprises font de la merde, mais un logiciel vraiment libre ne les empêche pas de le faire. Il est censé accorder "la liberté de faire fonctionner le programme comme vous voulez, pour n'importe quel usage".
Brunni (./3493) :Le rendu de texte d'Electron est exactement le même que celui de Chrome.
C'est incroyable quand même. Après nous avoir infesté de leur rendu de texte immonde avec Electron, ils font encore pire sur desktop, et n'ont même pas le QA / utilisateurs assez perfectionnistes, pour se rendre compte du souci avant qu'il arrive dans la version Stable 😡 (donc plusieurs mois)
Uther (./3495) :Certes, cette liberté est avant tout une histoire de licence, et certes, rien ne nous empêche de modifier Firefox pour fonctionner normalement. Donc oui, il est probablement conforme à la lettre de la définition du libre (du moins si on met de côté les histoires de marque déposée qui limitent la distribution de versions modifiées). Mais mettre exprès des fonctionnalités dans le navigateur qui limitent artificiellement ce que l'utilisateur peut faire (pas le droit de contourner HSTS même si le site est configuré incorrectement et ne peut donc plus être affiché, pas le droit d'installer des extensions non signées par Mozilla etc.), même si c'est au nom de la "sécurité" (le système totalement fermé des i* de Apple est aussi en ce nom! Ce n'est pas une excuse valable), va clairement à l'encontre de l'esprit. Un logiciel censé n'avoir pas de restrictions d'utilisation n'a pas à en imposer artificiellement par le code du logiciel, même s'il est modifiable.
Tu interprètes complètement de travers la liberté zéro du libre.
Elle signifie que tu ne peux lier le droit d'utilisation du logiciel a certaines condition d'usage. Par exemple un navigateur n'est pas libre s'il est interdit de l'utiliser dans des voitures capitalistes à kernel nucléaire.
Cette liberté ne contraint pas les fonctionnalités de l'application elle même. Et heureusement parce qu'un logiciel ne peux tout simplement en soi permettre tous les usages, certains étant incompatibles entre eux. Dans le cas présent, la capacité de voir n’importe quelle page n'est pas compatible avec la capacité de naviguer de manière sécurisée sachant que la très grande majorité des utilisateurs ne sont pas des experts de sécurité capable de mesurer le risque d'un problème de certificat.
Mozilla est parfaitement libre des fonctionnalités que gère son navigateur, et si son comportement ne te convient pas tu as des sources qui te permettent de modifier le comportement.
Kevin Kofler (./3502) :du coup tu peux forker, donc y'a pas de pb
Le code pour rajouter une exception aux vérifications de certificats existe déjà, il suffit de supprimer le code spécifique qui empêche de le faire pour un site en HSTS.
Kevin Kofler (./3502) :Ben non, ça c'est le comportement attendu ; si tu veux le bypasser, il faut ajouter une option dans about:config, donc une exception au comportement attendu.
Le code pour rajouter une exception aux vérifications de certificats existe déjà, il suffit de supprimer le code spécifique qui empêche de le faire pour un site en HSTS.
Kevin Kofler (./3498) :Non non et non. Ne pas respecter le HSTS n'est pas "fonctionner normalement" bien au contraire.
Certes, cette liberté est avant tout une histoire de licence, et certes, rien ne nous empêche de modifier Firefox pour fonctionner normalement.
HTTP Strict Transport Security (HSTS) is a web security policy mechanism that helps to protect websites against protocol downgrade attacks and cookie hijacking. It allows web servers to declare that web browsers (or other complying user agents) should interact with it using only secure HTTPS connections, and never via the insecure HTTP protocol. HSTS is an IETF standards track protocol and is specified in RFC 6797.
2.4.1.1. Detailed Core Requirements
[...]
7. UAs need to prevent users from "clicking through" security
warnings. Halting connection attempts in the face of secure
transport exceptions is acceptable. See also Section 12.1 ("No
User Recourse").
[...]
12.1. No User Recourse
Failing secure connection establishment on any warnings or errors
(per Section 8.4 ("Errors in Secure Transport Establishment")) should
be done with "no user recourse". This means that the user should not
be presented with a dialog giving her the option to proceed. Rather,
it should be treated similarly to a server error where there is
nothing further the user can do with respect to interacting with the
target web application, other than wait and retry.
Essentially, "any warnings or errors" means anything that would cause
the UA implementation to announce to the user that something is not
entirely correct with the connection establishment.
Not doing this, i.e., allowing user recourse such as "clicking
through warning/error dialogs", is a recipe for a man-in-the-middle
attack. If a web application issues an HSTS Policy, then it is
implicitly opting into the "no user recourse" approach, whereby all
certificate errors or warnings cause a connection termination, with
no chance to "fool" users into making the wrong decision and
compromising themselves.
Kevin Kofler (./3506) :Dixit celui qui kickait ceux qui n'étaient pas en UTF8.
De deux, le concept de "no user recourse" est incompatible avec l'esprit du logiciel libre. Pour moi, l'ordinateur doit obéïr avant tout à son utilisateur ou son utilisatrice, quoiqu'essaie d'imposer un standard totalitaire.