Si on continue ton analogie, alors le HTTP non crypté est l'équivalent de Tchernobyl, tout le monde sait que ce n'est pas sûr.
Uther Le 31/08/2015 à 08:32Edité par Uther le 31/08/2015 à 10:04 Je dirais que le problème de Tchernobyl est justement que la grande majorité de la population ignorait à quel point c'etait peu sur jusqu'à ce que ça leur pète à la figure, sinon ils seraient probablement partis habiter ailleurs. Seul les experts etaient au courant.
Même parmi les internautes qui n'ont pas de connaissances avancées en informatique, beaucoup ont appris que le web basique est non sécurisé, et que si ils doivent échanger des données sensibles, il faut une connexion sécurisé. Si ils sont face à du https, ils risquent de se permettre de transférer des informations qu'ils ne se seraient pas permis de transférer autrement, la notion de validité du certificat leur échappe.
Zeph Le 31/08/2015 à 10:02 Dans ce cas il ne manque pas un protocole intermédiaire qui serait "connexion chiffrée mais sans authentification", ou bien quelque chose de similaire à ce que fait SSH (définition de l'authentification lors de la première connexion) ?
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
Bah d'un point de vue technique, ça fait déjà ce que tu veux avec l'autosigné : tu l'acceptes la première fois et c'est bon.
Après, je ne vois vraiment pas l'intérêt par rapport aux certificats gratuits si tu vises un public quelconque, ou une vraie PKI propre si tu es dans un environnement maîtrisé.
DANE pourrait être pas mal : la signature du certificat est dans l'enregistrement DNS, il pourrait se substituer à la racine de confiance.
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
ok, il me semble qu'on pote avait essaye mais que le gratuit ca ne passait pas vraiment, faudrait que je redemande.
sisi, ça marche (j'en ai)
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Je crois que 3 cons sur ce forum vont me donner une bonne occasion de faire un pause.
Il y'a vraiment 3 personnes ici que je ne peux plus supporter, deux d'entre eux sont des beau parleur, l'autre un expert en sécurité.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Oui, mais du coup ça ne justifie pas les avertissements pour le HTTPS avec certificat invalide qui ne sont pas là pour le HTTP non crypté.
Uther Le 31/08/2015 à 15:34 L'explication est un ne peu plus simple : HTTP n'a pas d'avertissement car il n'est tout simplement pas censé fournir la moindre sécurité.
HTTPS lui est censé garantir que le contenu n'est pas falsifiable, or si le certificat n'est pas valide, ce n'est pas le cas d’où le message d'erreur. C'est certes marginalement plus sur que du HTTP classique mais au final, la sécurité que doit apporter HTTPS n'est pas là, d'où le besoin d’avertir clairement sur ce point.
Encore une fois, si tu ne comprends toujours pas l'intérêt : HTTP n'est pas prévenu parce que c'est le comportement NORMAL. HTTPS certifié est signalé discrètement parce que c'est s'assurer que la connexion est sécurisée. HTTPS autosigné déclenche un avertissement parce que le site tente de faire croire que ses pages sont protégées alors qu'il n'y a pas de garantie fiable derrière.
Maintenant, si tu tiens à ce que ton navigateur gueule à chaque page HTTP que tu consultes sur internet, tu peux faire un module à cette fin. Cela risque rapidement de te saouler cependant j'imagine.
EDIT : cross. La détection des #cross# est un peu bugguée en ce moment chez moi.
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »
— Legion, geth trolleur à portée galactique
RHJPP Le 31/08/2015 à 16:57 Je suis d'avis que l'indication de sécurisation des échanges ne devrait pas être liée à l'utilisation d'un certain protocole. En effet, le protocole n'est pas suffisant pour sécuriser un échange, il faut s'intéresser également aux certificats et à leurs émetteurs.
Un navigateur devrait indiquer qu'une connexion est sécurisée ou qu'elle ne l'est pas : HTTP, HTTPS sans certificat valide, Gopher => Non sécurisé ; HTTPS avec certificat valide => Sécurisé.
Si l'on veut être certain que l'utilisateur sait que la connexion n'est pas sécurisée parce qu'il pourrait penser que HTTPS est synonyme de sécurité, alors on peut imaginer afficher un message d'alerte avant l'affichage de la page (on peut éventuellement s'en passer en HTTP, car les utilisateurs savent que ce n'est pas sûr). Ça ne devrait pas aller plus loin et le franchissement de cet affichage ne devrait pas nécessité d'enregistrer une exception pour le certificat (la source n'est absolument pas sûre). Par exemple, Internet Explorer fait ça correctement et affiche un message en cas d'anomalie du certificat que l'on peut ignorer sans enregistrer d'exception.
Sinon, les certificats ne sont plus gratuits à partir du moment où l'utilisation n'est pas super basique. L'utilisation de sous-domaine n'est pas possible par exemple.
par contre, on n'entend pas trop parler d'exploitation de la faille, je trouve
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Zeph Le 02/10/2015 à 17:45 J'ai lu ça ce matin dans le journal mais une partie m'a étonné : "minutes later he received an email from Google saying they had cancelled the order". Comment ils peuvent faire ça, s'il l'a réellement acheté chez un fournisseur tiers ?
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
oui c'était vraiment de la merde leur idée.
Pen^2 Le 01/04/2016 à 16:19 Mmmm.
Je ne trouve pas ça spécialement drôle, mais en même temps c'est pas un email pro...