3720

Godzil (./3719) :
Sinon ben on peux aussi complètement la masque l’URL après tout ça ne sert à rien de l’afficher si je suis ta logique
Non, je ne sais pas ce qui t'a fait croire ça dans mon message, mais je pense qu'on peut masquer une bonne partie de ce qui n'est pas indicatif pour l'utilisateur lambda. J'imagine qu'il veut surtout voir sur quel site il est (donc le domaine) et sur quelle page (donc le chemin, peut-être la query string, ça dépend des sites) ; ça ne me choque pas que le reste puisse être masqué par défaut. En tout cas moins qu'introduire des règles étranges qui provoquent un comportement différent selon que le domaine commence par "www" ou "m".
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

3721

Brunni (./3717) :
Je suis entre vous deux moi, je pense que ça va de n'afficher que le site et l'URL simplifiée par contre il faut qu'elle se révèle entièrement quand on clique sur la barre.
C'est bien l'idée : une version simplifiée qui ne perd pas l'utilisateur dans des détail inutile, la vraie URL reste accessible en un clic.

Godzil (./3719) :
Oui on a besoin d’afficher l’URL complète et ce pour des raisons de sécurité. Sinon ben on peux aussi complètement la masque l’URL après tout ça ne sert à rien de l’afficher si je suis ta logique. Moins l’utilisateur en sais mieux il se porte c’est ça?
Je n'ai pas dis que la notion d'URL devait disparaitre. La vraie URL doit bien sur rester très facilement accessible, ne serait ce que pour la copier/coller.
Mais il n’empêche que l'URL est une notation technique qui peut tromper a bien des égards (n'est ce pas Pen^2) si on ne sait pas bien la lire. Pour la sécurité, c'est bien mieux d'afficher à l'utilisateur les informations vraiment utile, sous une forme non cryptique, à savoir : le domaine, le niveau de confiance qu'on peut lui accorder et si sa connexion est sécurisée.

Godzil (./3719) :
Le reste sur « l’utilisateur ne sais pas faire la différence » et bien c’est pourtant simple, HTTPS n’a qu’un seul sens: la connexion entre toi et le serveur est chiffre. Rien de plus rien d’autre. C’est une question d’éducation et ce sont des choses plutôt basique dont on parle la.
Sauf que ça n'a rien d'évident au premier abord. Je connais beaucoup de techniques qui ont une très mauvaise connaissance du sujet, alors je ne parle même pas du grand public qui n'aura pour la grande majorité jamais la moindre formation.
avatar

3722

Zeph: il y a eu du cross, c’était pour Uther.

Mettre en surbrilance le domaine par exemple peux avoir du sens pour que l'utilisateur puisse clairement voir qu'il est bien sur "yaronet.com" et pas autre chose qui essaye de se faire passer pour (par exemple, genre "yaronet.com@ultrafishing.darkweb")

Masquer l'URL complète c'est comme masquer une partie d'une adresse postale. Exemple au UK, le numéro de la maison + code postal est suffisant pour qu'une lettre arrive à bon port.

Est-ce pour autant que les gens ne mettent que ça sur l'enveloppe? non.
Alors pourquoi on ferrais de même pour les URLs?
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3723

Bien sûr, comme le dit Uther si on masque une information il faut vérifier qu'elle n'introduit pas un risque de sécurité. Par exemple pour "yaronet.com" on pourrait masquer les sous-domaines en considérant que le propriétaire de "yaronet.com" est responsable de tout ce qui se passe aux sous-niveaux. Mais masquer "names" dans "names.co.uk" serait certainement une mauvaise idée. En gardant ton exemple, il s'agirait de supprimer le prénom et ne laisser que le nom de famille sur une enveloppe : ça ne l'empêchera pas d'arriver à bon port (sauf si tu as un homonyme dans l'immeuble, mais même avec le prénom c'était déjà possible), donc on pourrait discuter du fait que ce soit une bonne idée ou non.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

3724

Uther (./3721) :
Mais il n’empêche que l'URL est une notation technique qui peut tromper a bien des égards (n'est ce pas Pen^2)
embarrassed


(Dans leur lecteur de news sur android il n'y a plus d'url du tout. Je n'utilise pas, mais c'est le truc qui envoie des notifications de news, et ça doit être chrome derrière)

3725

Godzil (./3722) :
Mettre en surbrilance le domaine par exemple peux avoir du sens pour que l'utilisateur puisse clairement voir qu'il est bien sur "yaronet.com" et pas autre chose qui essaye de se faire passer pour (par exemple, genre "yaronet.com@ultrafishing.darkweb")
C'est déjà ce que les navigateurs font et c'est clairement inutile. La majorité ne le remarque même pas et même si c'est le cas ça ne leur donne pas la moindre information sur ce que ça peut signifier.

Personnellement si j'avais carte blanche pour refaire l'IHM des navigateur on aurait quelque-chose du genre de ça :
J1PY


En cliquant sur le reste du chemin,on passerait en mode saisie et l'URL complète s'afficherait.
En passant la souris sur l’icône on aurait le message suivant en fonction du type de connexion :
  • Point d'exclamation sur fond rouge : Connexion non chiffrée ou mal chiffrée (certificat auto-signé, ...)
    La connexion n’étant pas sécurisée, il est impossible de garantir que vous visitez le site authentique du domaine yaronet.com. Il pourrait être remplacé par un faux site. Faites très attention et ne soumettez aucune information sensible.
  • Poignée de main avec point d’interrogation : Connexion https avec certificat DV (style Let's Encrypt)
    La sécurisation de la connexion permet de garantir que vous êtes bien connecté au site du domaine yaronet.com. Le certificat ne fournit pas d'informations légales sur le propriétaire de ce domaine. Si vous ne connaissez pas la réputation du site yaronet.com, évitez de lui transmettre des informations.
  • Poignée de main : Connexion https avec certificat OV
    La sécurisation de la connexion permet de garantir que vous êtes connecté au site du domaine yaronet.com. Le certificat à fournit les informations légales suivantes (partiellement vérifiées) : …
  • Poignée de main sur fond vert : Connexion https avec certificat EV
    La sécurisation de la connexion permet de garantir que vous êtes connecté au site du domaine yaronet.com. Le certificat à fournit les informations légales vérifiés suivantes : …
avatar

3726

Ha oui comme ca tout les sites qui n'ont pas plein de $$$ vont etre evité par les gens parceque ce n'est pas "vert"

Oui c'est une bonne idée.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3727

Bah c'est déjà le cas actuellement : seuls les sites avec un certificats EV sont affichés en vert, ça ne pose pas de problème.

Si on ne peut pas garantir la moindre information sur la confiance que l'on peut accorder a un site, ça serait idiot de mentir au prétexte que valider une identité coute de l'argent.
avatar

3728

Non yAronet avec un "let's encrypt" a un cadena vert chez Firefox. Et afficher autre chose est une tres mauvaise idée.

Tu veux rendre les choses "plus simple" en les rendant encore plus compliqués.

Ce qui est important dans 99% des cas c'est que la connexion soit chiffré.

Le reste n'est quasiment presque que détails.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3729

Ok tu parlais du cadenas vert de Firefox. C'est quelque chose de spécifique à Firefox : tous les autres navigateurs affichent un cadenas gris. De plus afficher ce cadenas pour toute connexion https est pour moi une mauvaise idée : la majorité des utilisateurs le comprennent mal. Un cadenas, d'autant plus s'il est vert, donne une impression de sécurité générale alors qu'on est juste au niveau minimum. C'est surtout l'absence de chiffrage qui se doit d'être signalée vivement.

La connexion chiffrée, c'est techniquement indispensable pour transmettre des informations de manière sécurisée sur le web, mais dans la pratique les gens se font énormément plus arnaquer par phishing que par détournement de connexion.

edit : L'icône de la poignée de main barrée est peut-être un peu trop négative. Je l'ai remplacée par un point d’interrogation au dessus de la poignée de main qui me semble plus adaptée pour indiquer que l'on ne sait pas si le site est de confiance ou non.
avatar

3730

Tout ça est peine perdue. Tu peux mettre la meilleure UI du monde, les utilisateurs qui ne veulent pas faire attention ne feront pas attention. Ça fait des décennies que tous les admins système essaient de résoudre ce problème, et ils n'y sont pas arrivés, parce que ce n'est pas un problème technique mais humain.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

3731

Le chiffrement et le fishing n’ont aucun rapport. Tu peux avoir un site parlement legit qui a été hacké, et sert des pages de fishing tout en ayant un certificat 100% valide et 100% prouvant que le domaine est bien celui qu’il dit être. Https n’est pas fait pour l’identification d’un site web, c’est fait pour le chiffrement des échanges.
L’utilisation de certificats et de CA est uniquement pour essayer de limiter la casse avec les MITM comme l’échange de clé ne peux être fait de manière parfaitement sécurisée.

Si tu veux un moyen de prouver qu’un site et bel et bien celui qu’il prétend c’est autre chose que HTPS, il faut ajouter aussi une signature pour chaque page pour authentifier qu’elle est legit, et plein d’autre détails du genre.

Https n’est pas fait pour qu’amazon.com est bel et bien Amazon sur toutes les pages servies. (Ni meme que c’est bien Amazon) le certificats ne fait que dire « oui je suis fait pour fonctionner avec Amazon.com pas Google.fr
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3732

Zerosquare (./3730) :
Tout ça est peine perdue. Tu peux mettre la meilleure UI du monde, les utilisateurs qui ne veulent pas faire attention ne feront pas attention. Ça fait des décennies que tous les admins système essaient de résoudre ce problème, et ils n'y sont pas arrivés, parce que ce n'est pas un problème technique mais humain.
Sauf que justement l'idée, c'est que plutôt qu'avoir une approche d'admin système, il faudrait une approche de professionnel de l'Expérience Utilisateur (UX).

C'est quand même plus facile de faire attention aux indices utiles quand ils sont présentées de manière claire et non ambiguë. Pour beaucoup de gens, une URL c'est du chinois. Rien de tel pour les dissuader de faire le moindre effort d'identification du risque. La présentation que je propose à le mérite de mettre facilement en avant les deux principales informations importantes à vérifier pour un monsieur lambda qui n'est pas sûr de la page où il se trouve. Si malgré ça il décide de les ignorer, tant pis, mais au moins l'info était clairement identifiable.

Godzil (./3731) :
Le chiffrement et le fishing n’ont aucun rapport. Tu peux avoir un site parlement legit qui a été hacké, et sert des pages de fishing tout en ayant un certificat 100% valide et 100% prouvant que le domaine est bien celui qu’il dit être. Https n’est pas fait pour l’identification d’un site web, c’est fait pour le chiffrement des échanges.
En effet chiffrement et phising sont techniquement deux choses différentes, et le kacking de site web en est une troisième tout aussi différente.

Pour le phising, le point essentiel c'est de pouvoir identifier clairement nom du domaine ou l'on est connecté (ce qui n'a en effet rien a voir avec le chiffrage). Le fait d'afficher le domaine à part de manière vraiment visible, plutôt que noyé dans le bordel de l'URL, aide à s'en prévenir.

Là ou ma proposition recoupe légèrement la problématique du chiffrement, c'est que les certificat OV et EV fournissent des informations légales sur le possesseur du certificat ce qui est un élément de vérification supplémentaire contre le phising.

Pour le hacking, en effet, rien ne pourra jamais prouver que le site auquel tu te connectes ne s'est pas fait pirater. Je pense qu'aucune solution basée sur le chiffrement n'est viable contre ça, du moins pour un site dynamique. Mais c'est un problème qui ne concerne pas directement l'utilisateur : c'est le site web qui est responsable de sa propre sécurisation. Si un site comme Amazon a été compromis et te sert de fausses pages, c'est eux les responsables et tu peux te retourner contre eux. Alors que si tu te connectes à un site qui n'est pas Amazon, c'est toi le responsable.
avatar

3733

Zerosquare (./3730) :
Tout ça est peine perdue. Tu peux mettre la meilleure UI du monde, les utilisateurs qui ne veulent pas faire attention ne feront pas attention. Ça fait des décennies que tous les admins système essaient de résoudre ce problème, et ils n'y sont pas arrivés, parce que ce n'est pas un problème technique mais humain.
Non, je ne suis pas d'accord. Un système bien conçu permet aux simples utilisateurs d'agir correctement.
Par exemple, pas mal de mes connaissances avec des iPhone/Mac utilisent le trousseau de mots de passe pour avoir des mots de passe robustes et différents sur chaque site.
Avant, ils utilisaient le même mot de passe simple sur tous les sites. C'est le changement d'interface qui a permis ce renforcement de la sécurité.


Godzil (./3731) :
Le chiffrement et le fishing n’ont aucun rapport. Tu peux avoir un site parlement legit qui a été hacké, et sert des pages de fishing tout en ayant un certificat 100% valide et 100% prouvant que le domaine est bien celui qu’il dit être. Https n’est pas fait pour l’identification d’un site web, c’est fait pour le chiffrement des échanges.
L’utilisation de certificats et de CA est uniquement pour essayer de limiter la casse avec les MITM comme l’échange de clé ne peux être fait de manière parfaitement sécurisée.

Si tu veux un moyen de prouver qu’un site et bel et bien celui qu’il prétend c’est autre chose que HTPS, il faut ajouter aussi une signature pour chaque page pour authentifier qu’elle est legit, et plein d’autre détails du genre.

Https n’est pas fait pour qu’amazon.com est bel et bien Amazon sur toutes les pages servies. (Ni meme que c’est bien Amazon) le certificats ne fait que dire « oui je suis fait pour fonctionner avec Amazon.com pas Google.fr
D'où l'intérêt des certificats avec validation renforcée ^^
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

3734

Globalement, je suis d'accord avec Uther ; l'utilisateur ne peut s'intéresser à l'information que si elle lui est présentée d'une façon cohérente pour lui. Ce n'est pas à l'utilisateur d'apprendre la technique (même si ça ne fait jamais de mal, on ne peut pas demander à des utilisateurs qui font avoir entre 7 et 107 ans, venant de cultures et avec des compétences diverses de comprendre ce qui n'est même pas évident pour de nombreux techniciens).
avatar

3735

de toute facon l'EV est une blague, très chère en plus.

3736

Si vous trouviez que le numéro de version de Firefox augmentait trop vite, rassurez-vous : ça va bientôt aller encore plus vite :
https://hacks.mozilla.org/2019/09/moving-firefox-to-a-faster-4-week-release-cycle/
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

3737

je pensais qu'ils allaient s'arrêt à la v69, le logo prenait tout son sens
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

3738

grin

3739

DoH! Mozilla assures UK minister that DNS-over-HTTPS won't be default in Firefox for Britonswww.theregister.co.ukAs Reg readers will know, you'll have to click a few buttons first
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

3740

W T F

Ceci dit, meme si c'est mieux dans un sens, je suis pas super content de voir que le defaut et unique DNS presenté par Fx est Cloudflare.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3741

3742

A priori l'IHM ne propose que Cloudflare dans la liste déroulante, mais laisse saisir le fournisseur de son choix.
Maintenant je ne sais pas qui à part Cloudflare propose ce service.
avatar

3743

mais du coup ça passe outre les couches systèmes et donc hosts, fw co. ?
avatar

3744

oui
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3745

Oui. Les fichiers hosts, et les DNS locaux en particulier pour les entreprises. Donc exit les noms en .local par exemple.
avatar

3746

Firefox 70 apporte un certain nombre de nouveautés.
Mais ce qu'on voit en premier, c'est que le logo est devenu plus moche, et que les liens ne sont plus soulignés pareil embarrassed
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

3747

"Plus soulignés pareil" tu parles de la barre de soulignement qui s'arrête autour des lettres qui dépassent la ligne de pied ? (c'était peut-être déjà le cas avant, je n'ai jamais trop fait gaffe)
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

3748

Oui c'est ça, c'est d'ailleurs mentionné dans les release notes :
Readability is now greatly improved on under- or overlined texts, including links. The lines will now be interrupted instead of crossing over a glyph.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

3749

Je viens de faire la MAJ et sur yaronet ca n'a absolument rien changé.
edit: nulle part, en fait.

3750

Le changement est très léger. Par exemple, là, le soulignement est coupé devant la partie basse du "p" et du "j"
xtuK
avatar