480

Si on continue ton analogie, alors le HTTP non crypté est l'équivalent de Tchernobyl, tout le monde sait que ce n'est pas sûr.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

481

Je dirais que le problème de Tchernobyl est justement que la grande majorité de la population ignorait à quel point c'etait peu sur jusqu'à ce que ça leur pète à la figure, sinon ils seraient probablement partis habiter ailleurs. Seul les experts etaient au courant.

Même parmi les internautes qui n'ont pas de connaissances avancées en informatique, beaucoup ont appris que le web basique est non sécurisé, et que si ils doivent échanger des données sensibles, il faut une connexion sécurisé. Si ils sont face à du https, ils risquent de se permettre de transférer des informations qu'ils ne se seraient pas permis de transférer autrement, la notion de validité du certificat leur échappe.
avatar

482

Kevin Kofler (./480) :
Si on continue ton analogie, alors le HTTP non crypté est l'équivalent de Tchernobyl, tout le monde sait que ce n'est pas sûr.
Plutôt l'absence de centrale. Inutile de se demander alors si elle est bien protégée ou non. En revanche on ne profite pas des avantages.
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

483

./477 > epee
Si on ne signale pas le certificat invalide quand on est sûr un site amateur, ça veut dire qu'on ne le signale pas non plus quand on est sur le site d'une banque.

Un certificat « autosigné » (en fait, ce n'est pas le problème, le problème est que la chaîne de confiance est invalide) est un certificat définit comme *invalide* dans TLS au même titre qu'un certificat révoqué ou périmé, et c'est normal que TLS le rejette.
Zerosquare (./477) :
- enfin, ça ne coûte pas grand-chose d'avoir un vrai certificat signé. Et pour ceux qui refusent de dépenser le moindre sou ou qui sont dans environnement privé, on peut toujours rajouter manuellement un certificat auto-signé dans la liste blanche du navigateur.
C'est même gratuit !
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

484

Dans ce cas il ne manque pas un protocole intermédiaire qui serait "connexion chiffrée mais sans authentification", ou bien quelque chose de similaire à ce que fait SSH (définition de l'authentification lors de la première connexion) ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

485

Bah d'un point de vue technique, ça fait déjà ce que tu veux avec l'autosigné : tu l'acceptes la première fois et c'est bon.
Après, je ne vois vraiment pas l'intérêt par rapport aux certificats gratuits si tu vises un public quelconque, ou une vraie PKI propre si tu es dans un environnement maîtrisé.

DANE pourrait être pas mal : la signature du certificat est dans l'enregistrement DNS, il pourrait se substituer à la racine de confiance.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

486

flanker (./485) :
ah d'un point de vue technique, ça fait déjà ce que tu veux avec l'autosigné : tu l'acceptes la première fois et c'est bon
non, justement. aujourd'hui chrome bloque l'accès, il ne te propose pas d'ajouter le certificat si tu veux lui faire confiance...
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

487

Zeph (./484) :
Dans ce cas il ne manque pas un protocole intermédiaire qui serait "connexion chiffrée mais sans authentification",
Pendant un moment Firefox faisait plus ou moins ça en affichant un cadenas orange pour un certificat invalide contre un cadenas vert pour un certificat valide, mais ils se sont rendus compte qu'en pratique ça induisait beaucoup trop en erreur. La majorité des utilisateurs croient à tort leur connexion sécurisée des qu'ils voient un cadenas ou "https".
Zeph (./484) :
ou bien quelque chose de similaire à ce que fait SSH (définition de l'authentification lors de la première connexion) ?
Ajouter une exception manuellement pour un certificat est bien ce qui est fait actuellement (du moins dans Firefox). Par contre l’écran qui permet de faire ça est volontairement rebutant pour décourager les personnes qui ne sont pas conscientes du problème.
avatar

488

flanker (./483) :
Zerosquare (./477) :
- enfin, ça ne coûte pas grand-chose d'avoir un vrai certificat signé. Et pour ceux qui refusent de dépenser le moindre sou ou qui sont dans environnement privé, on peut toujours rajouter manuellement un certificat auto-signé dans la liste blanche du navigateur.
C'est même gratuit !
mm, ou ? J'en ai jamais vu des gratuits qui ne bloquent pas l'acces a la page a moins de confirmer qu'on veut vraiment y aller.

489

Arvi89 (./488) :
flanker (./483) :
Zerosquare (./477) :
- enfin, ça ne coûte pas grand-chose d'avoir un vrai certificat signé. Et pour ceux qui refusent de dépenser le moindre sou ou qui sont dans environnement privé, on peut toujours rajouter manuellement un certificat auto-signé dans la liste blanche du navigateur.
C'est même gratuit !
mm, ou ? J'en ai jamais vu des gratuits qui ne bloquent pas l'acces a la page a moins de confirmer qu'on veut vraiment y aller.
startssl, par exemple
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

490

ok, il me semble qu'on pote avait essaye mais que le gratuit ca ne passait pas vraiment, faudrait que je redemande.

491

sisi, ça marche (j'en ai)
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

492

Meowcate (./482) :
Kevin Kofler (./480) :
Si on continue ton analogie, alors le HTTP non crypté est l'équivalent de Tchernobyl, tout le monde sait que ce n'est pas sûr.
Plutôt l'absence de centrale. Inutile de se demander alors si elle est bien protégée ou non. En revanche on ne profite pas des avantages.
Bah non, parce que le HTTP non crypté comporte tous les risques du HTTPS avec un certificat invalide (plus celui d'écoute passive).
flanker (./483) :
./477 > epeeSi on ne signale pas le certificat invalide quand on est sûr un site amateur, ça veut dire qu'on ne le signale pas non plus quand on est sur le site d'une banque.
Il faut donc signaler la fiabilité du certificat de manière non-intrusive (et aussi signaler le HTTP non crypté comme non fiable de la même manière), et non pas embêter l'utilisateur avec des manipulations tordues à faire pour voir le site voulu.
Un certificat « autosigné » (en fait, ce n'est pas le problème, le problème est que la chaîne de confiance est invalide) est un certificat définit comme *invalide* dans TLS au même titre qu'un certificat révoqué ou périmé, et c'est normal que TLS le rejette.
Et ça profite avant tout au cartel des signatures, qui s'est fait de l'argent pendant des années sur le dos des webmasters en profitant de ce système de confiance centralisé.

(D'ailleurs, à mon avis, les navigateurs devraient par défaut complètement ignorer la date d'expiration, qui sert avant tout à assurer un flux d'argent constant vers les autorités de certification (et aussi limiter artificiellement l'utilisabilité des certificats gratuits à une période d'essai).)
Zerosquare (./477) :
- enfin, ça ne coûte pas grand-chose d'avoir un vrai certificat signé. Et pour ceux qui refusent de dépenser le moindre sou ou qui sont dans environnement privé, on peut toujours rajouter manuellement un certificat auto-signé dans la liste blanche du navigateur.
C'est même gratuit !
Gratuit pour quelque chose comme 90 jours (voire 30 chez certains)… Mais bon, si le lancement de Let's Encrypt n'est pas repoussé encore une fois, 90 jours suffiront pour combler l'attente. smile
Uther (./487) :
Zeph (./484) :
Dans ce cas il ne manque pas un protocole intermédiaire qui serait "connexion chiffrée mais sans authentification",
Pendant un moment Firefox faisait plus ou moins ça en affichant un cadenas orange pour un certificat invalide contre un cadenas vert pour un certificat valide, mais ils se sont rendus compte qu'en pratique ça induisait beaucoup trop en erreur. La majorité des utilisateurs croient à tort leur connexion sécurisée des qu'ils voient un cadenas ou "https".
Et l'ancienne solution était la bonne. C'est dingue que les développeurs choisissent de punir tout le monde à cause d'utilisateurs cons.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

493

Kevin Kofler (./492) :
Bah non, parce que le HTTP non crypté comporte tous les risques du HTTPS avec un certificat invalide (plus celui d'écoute passive).
Mais le HTTP est fait pour le trafic qui n'a pas besoin d'être chiffré ou fiable, donc on s'en fout.
flanker (./483) :
./477 > epeeSi on ne signale pas le certificat invalide quand on est sûr un site amateur, ça veut dire qu'on ne le signale pas non plus quand on est sur le site d'une banque.
Il faut donc signaler la fiabilité du certificat de manière non-intrusive (et aussi signaler le HTTP non crypté comme non fiable de la même manière), et non pas embêter l'utilisateur avec des manipulations tordues à faire pour voir le site voulu.
Sauf que si tu le fais de manière non intrusive, les gens ne vont pas s'en rendre compte (c'était d'ailleurs le cas avant).
Franchement, je ne vois pas l'intérêt d'emmerder le monde avec un certificat invalide alors qu'on peut en avoir de parfaitement valides gratuitement.
Un certificat « autosigné » (en fait, ce n'est pas le problème, le problème est que la chaîne de confiance est invalide) est un certificat définit comme *invalide* dans TLS au même titre qu'un certificat révoqué ou périmé, et c'est normal que TLS le rejette.
Et ça profite avant tout au cartel des signatures, qui s'est fait de l'argent pendant des années sur le dos des webmasters en profitant de ce système de confiance centralisé.
Ça profite surtout à la *sécurité*.
(D'ailleurs, à mon avis, les navigateurs devraient par défaut complètement ignorer la date d'expiration, qui sert avant tout à assurer un flux d'argent constant vers les autorités de certification (et aussi limiter artificiellement l'utilisabilité des certificats gratuits à une période d'essai).)
#vomi#
Gratuit pour quelque chose comme 90 jours (voire 30 chez certains)… Mais bon, si le lancement de Let's Encrypt n'est pas repoussé encore une fois, 90 jours suffiront pour combler l'attente. smile
Non, le certificat est valable 1 an et tu peux le renouveler gratuitement. Faudrait arrêter de raconter n'importe quoi…
Et l'ancienne solution était la bonne. C'est dingue que les développeurs choisissent de punir tout le monde à cause d'utilisateurs cons.
Je reconnais bien là ton humanité…
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

494

Je crois que 3 cons sur ce forum vont me donner une bonne occasion de faire un pause.

Il y'a vraiment 3 personnes ici que je ne peux plus supporter, deux d'entre eux sont des beau parleur, l'autre un expert en sécurité.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

495

Kevin Kofler (./492) :
Bah non, parce que le HTTP non crypté comporte tous les risques du HTTPS avec un certificat invalide (plus celui d'écoute passive).
Bon, voyons cela autrement : le HTTP est la centrale nucléaire que personne n'inspecte jamais et qui n'est même pas gardé, le HTTPS autosigné est une centrale dont les gardiens qui gardent la porte prétendent qu'elle est inspectée et aux normes (sans qu'on puisse le vérifier, ni même être sûr que ces types bossent bien ici), et le HTTPS certifié est la centrale dont un tiers de confiance vérifie la tenue de la centrale et se renseigne sur son personnel. Mieux ?
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

496

Oui, mais du coup ça ne justifie pas les avertissements pour le HTTPS avec certificat invalide qui ne sont pas là pour le HTTP non crypté.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

497

L'explication est un ne peu plus simple : HTTP n'a pas d'avertissement car il n'est tout simplement pas censé fournir la moindre sécurité.

HTTPS lui est censé garantir que le contenu n'est pas falsifiable, or si le certificat n'est pas valide, ce n'est pas le cas d’où le message d'erreur. C'est certes marginalement plus sur que du HTTP classique mais au final, la sécurité que doit apporter HTTPS n'est pas là, d'où le besoin d’avertir clairement sur ce point.
avatar

498

Uther (./497) :
L'explication est un ne peu plus simple : HTTP n'a pas d'avertissement car il n'est tout simplement pas censé fournir la moindre sécurité.
HTTPS lui est censé garantir que le contenu n'est pas falsifiable, or si le certificat n'est pas valide, ce n'est pas le cas d’où le message d'erreur. C'est certes marginalement plus sur que du HTTP classique mais au final, la sécurité que doit apporter HTTPS n'est pas là, d'où le besoin d’avertir clairement sur ce point.
Dur de faire plus clair, mais je ne sais pas si ça sera suffisant.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

499

Encore une fois, si tu ne comprends toujours pas l'intérêt : HTTP n'est pas prévenu parce que c'est le comportement NORMAL. HTTPS certifié est signalé discrètement parce que c'est s'assurer que la connexion est sécurisée. HTTPS autosigné déclenche un avertissement parce que le site tente de faire croire que ses pages sont protégées alors qu'il n'y a pas de garantie fiable derrière.

Maintenant, si tu tiens à ce que ton navigateur gueule à chaque page HTTP que tu consultes sur internet, tu peux faire un module à cette fin. Cela risque rapidement de te saouler cependant j'imagine.

EDIT : cross. La détection des #cross# est un peu bugguée en ce moment chez moi.
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

500

chante Tchernobyl, en avant les histoires

501

trilol
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

502

Je suis d'avis que l'indication de sécurisation des échanges ne devrait pas être liée à l'utilisation d'un certain protocole. En effet, le protocole n'est pas suffisant pour sécuriser un échange, il faut s'intéresser également aux certificats et à leurs émetteurs.

Un navigateur devrait indiquer qu'une connexion est sécurisée ou qu'elle ne l'est pas : HTTP, HTTPS sans certificat valide, Gopher => Non sécurisé ; HTTPS avec certificat valide => Sécurisé.

Si l'on veut être certain que l'utilisateur sait que la connexion n'est pas sécurisée parce qu'il pourrait penser que HTTPS est synonyme de sécurité, alors on peut imaginer afficher un message d'alerte avant l'affichage de la page (on peut éventuellement s'en passer en HTTP, car les utilisateurs savent que ce n'est pas sûr). Ça ne devrait pas aller plus loin et le franchissement de cet affichage ne devrait pas nécessité d'enregistrer une exception pour le certificat (la source n'est absolument pas sûre). Par exemple, Internet Explorer fait ça correctement et affiche un message en cas d'anomalie du certificat que l'on peut ignorer sans enregistrer d'exception.

Sinon, les certificats ne sont plus gratuits à partir du moment où l'utilisation n'est pas super basique. L'utilisation de sous-domaine n'est pas possible par exemple.
avatar

503

So much code to write, so little time.

504

par contre, on n'entend pas trop parler d'exploitation de la faille, je trouve
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

505

avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

506

J'ai lu ça ce matin dans le journal mais une partie m'a étonné : "minutes later he received an email from Google saying they had cancelled the order". Comment ils peuvent faire ça, s'il l'a réellement acheté chez un fournisseur tiers ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

507

Apparemment ils ont lancé un service d'achat de NDD et il l'a acheté directement chez eux :
Sanmay Ved was using Google's new domain sale service when he tried typing in the well-known address.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

508

avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

509

oui c'était vraiment de la merde leur idée.

510

Mmmm.
Je ne trouve pas ça spécialement drôle, mais en même temps c'est pas un email pro...