Tous les navigateurs devraient-ils implémenter le protocole HSTS ?

Katleen Erna · 16/11/2010, 16h59

Tous les navigateurs devraient-ils implémenter le protocole HSTS ? Le mécanisme sécuritaire est en voie de standardisation

Le protocole HSTS (HTTP Strict Transport Security), qui permet de renforcer le sécurité en ligne, n'est pas encore utilisé en masse.

Pourtant, ce mécanisme permettrait de renforcer la sécurité des sites visités, et des comptes qui y sont associés. Notamment, dans le cas de réseaux Wi-Fi non fiables ou de connexions manquant de cryptage.

Actuellement, le protocole est en cours de standardisation par le IETF (Internet Engineering Task Force) et deux navigateurs très populaires le prennent déjà en charge :

Il s'agit de Chrome, et de FireFox (actuellement dans les plug-in NoScript et Force-TLS, avant d'être implémenté dans la prochaine version du logiciel lui-même).

Lorsqu'un site Web qui l'a implémenté sera visité, il fera en sorte que le navigateur se connecte toujours par défaut et automatiquement à la version sécurisée de la page via une URL en "https".

De plus, certains sites contenant des infos sensibles utilisent le protocole, comme PayPal. Et encore plus suivront certainement, surtout lorsque Microsoft aura implémenté le HSTS. Mais ce mouvement n'est pour l'instant pas prévu dans Internet Explorer 9.

Pensez-vous que tous les navigateurs devraient implémenter ce protocole ?

Neko · 16/11/2010, 18h01

Et donc c'est quoi la différence avec une redirection auto sur la page https comme beaucoup de sites utilisent déjà ?

Ev3r10st · 16/11/2010, 20h08

Y'en a pas.

Rediriger automatiquement (via le browser) tout le http vers https, pourquoi pas.
Pour les attaques MITM.

Mais encore une fois, on met la sécurité côté client.

Seulement c'est à double tranchant, les développeurs d'appli web vont être encore plus confiants, et laisser d'énormes failles dans leurs sites.

C'est les développeurs qu'il faut sensibiliser.

Flaburgan · 17/11/2010, 15h49

Cela rendrait-il le réseau réellement plus lent si TOUS les sites étaient en HTTPS ?

Joker-eph · 18/11/2010, 11h07

Le réseau serait toujours aussi "rapide", il ne transporte que des octets sans discrimination (pour l'instant) ;-)

Le problème c'est plutôt les ressources serveurs pour initier une session https et ensuite encrypter le trafic.

Flaburgan · 18/11/2010, 12h58

Oui ce que j'entendais par rapide était le temps de réponse entre le moment où je clique sur un lien et où la page s'affiche, rajouter les actions encrypter et décrypter à la fin ralentisse forcément, et peut être que les données cryptées tiennent du coup sur plus d'octets... Bref, cette variation de temps est-elle visible ? (Delta t est-il négligeable :p ?)

valkirys · 18/11/2010, 13h44

Non, si un site est bien codé avec des règles de mise en cache (du navigateur) bien faites, le surcout devrait être négligeable (pas vraiment visible lors du chargement de la page) a priori il y a de la marge au niveau d'un serveur qui devrait pouvoir crypter (il zip déjà les données et ça ne se voit pas) sans se mettre à ramer.
Après si un site envoie trop de donner, est mal codé le temps d'exécution va augmenter avec un cryptage ce qui ne va rien arranger.

Pour la taille des données, vu la taille des images de nos jours on n'en est plus à quelques centaines d'octet près, le cache (navigateur) joue un rôle important avec ou sans https dans ce cas.

cassis2k · 18/11/2010, 14h05

Je suis de l'avis d'Ev3r10st. C'est au serveur de gérer cette fonction !

16/11/2010, 16h59	#1
Katleen Erna Expert Confirmé Sénior Inscription : juillet 2009 Messages : 1 553 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations forums : Inscription : juillet 2009 Messages : 1 553 Points : 30 209 Points : 30 209	Tous les navigateurs devraient-ils implémenter le protocole HSTS ? Tous les navigateurs devraient-ils implémenter le protocole HSTS ? Le mécanisme sécuritaire est en voie de standardisation Le protocole HSTS (HTTP Strict Transport Security), qui permet de renforcer le sécurité en ligne, n'est pas encore utilisé en masse. Pourtant, ce mécanisme permettrait de renforcer la sécurité des sites visités, et des comptes qui y sont associés. Notamment, dans le cas de réseaux Wi-Fi non fiables ou de connexions manquant de cryptage. Actuellement, le protocole est en cours de standardisation par le IETF (Internet Engineering Task Force) et deux navigateurs très populaires le prennent déjà en charge : Il s'agit de Chrome, et de FireFox (actuellement dans les plug-in NoScript et Force-TLS, avant d'être implémenté dans la prochaine version du logiciel lui-même). Lorsqu'un site Web qui l'a implémenté sera visité, il fera en sorte que le navigateur se connecte toujours par défaut et automatiquement à la version sécurisée de la page via une URL en "https". De plus, certains sites contenant des infos sensibles utilisent le protocole, comme PayPal. Et encore plus suivront certainement, surtout lorsque Microsoft aura implémenté le HSTS. Mais ce mouvement n'est pour l'instant pas prévu dans Internet Explorer 9. Pensez-vous que tous les navigateurs devraient implémenter ce protocole ?
	11

17/11/2010, 15h49	#4
Flaburgan Modérateur Développeur informatique Inscription : avril 2010 Messages : 1 036 Détails du profil Informations personnelles : Sexe : Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Électronique et micro-électronique Informations forums : Inscription : avril 2010 Messages : 1 036 Points : 2 480 Points : 2 480	Cela rendrait-il le réseau réellement plus lent si TOUS les sites étaient en HTTPS ? __________________ "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla Je soutiens Diaspora*, le réseau social libre. Veillez à porter une attention toute particulière à l'orthographe... Blog collaboratif avec des amis : http://geexxx.fr
	00

18/11/2010, 11h07	#5
Joker-eph Membre éclairé Inscription : octobre 2004 Messages : 234 Détails du profil Informations forums : Inscription : octobre 2004 Messages : 234 Points : 359 Points : 359	Le réseau serait toujours aussi "rapide", il ne transporte que des octets sans discrimination (pour l'instant) ;-) Le problème c'est plutôt les ressources serveurs pour initier une session https et ensuite encrypter le trafic.
	00

18/11/2010, 12h58	#6
Flaburgan Modérateur Développeur informatique Inscription : avril 2010 Messages : 1 036 Détails du profil Informations personnelles : Sexe : Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Électronique et micro-électronique Informations forums : Inscription : avril 2010 Messages : 1 036 Points : 2 480 Points : 2 480	Oui ce que j'entendais par rapide était le temps de réponse entre le moment où je clique sur un lien et où la page s'affiche, rajouter les actions encrypter et décrypter à la fin ralentisse forcément, et peut être que les données cryptées tiennent du coup sur plus d'octets... Bref, cette variation de temps est-elle visible ? (Delta t est-il négligeable :p ?) __________________ "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla Je soutiens Diaspora*, le réseau social libre. Veillez à porter une attention toute particulière à l'orthographe... Blog collaboratif avec des amis : http://geexxx.fr
	00

18/11/2010, 13h44	#7
valkirys Membre éprouvé Développeur informatique Inscription : janvier 2010 Messages : 327 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : janvier 2010 Messages : 327 Points : 460 Points : 460	Non, si un site est bien codé avec des règles de mise en cache (du navigateur) bien faites, le surcout devrait être négligeable (pas vraiment visible lors du chargement de la page) a priori il y a de la marge au niveau d'un serveur qui devrait pouvoir crypter (il zip déjà les données et ça ne se voit pas) sans se mettre à ramer. Après si un site envoie trop de donner, est mal codé le temps d'exécution va augmenter avec un cryptage ce qui ne va rien arranger. Pour la taille des données, vu la taille des images de nos jours on n'en est plus à quelques centaines d'octet près, le cache (navigateur) joue un rôle important avec ou sans https dans ce cas.
	00

16/11/2010, 18h01	#2
Neko Membre Expert Développeur informatique Inscription : juillet 2005 Messages : 510 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : juillet 2005 Messages : 510 Points : 1 857 Points : 1 857	Et donc c'est quoi la différence avec une redirection auto sur la page https comme beaucoup de sites utilisent déjà ?
	10

16/11/2010, 20h08	#3
Ev3r10st Membre du Club Inscription : octobre 2010 Messages : 26 Détails du profil Informations forums : Inscription : octobre 2010 Messages : 26 Points : 59 Points : 59	Y'en a pas. Rediriger automatiquement (via le browser) tout le http vers https, pourquoi pas. Pour les attaques MITM. Mais encore une fois, on met la sécurité côté client. Seulement c'est à double tranchant, les développeurs d'appli web vont être encore plus confiants, et laisser d'énormes failles dans leurs sites. C'est les développeurs qu'il faut sensibiliser.
	10

18/11/2010, 14h05	#8
cassis2k Membre du Club Julien Inscription : juin 2007 Messages : 106 Détails du profil Informations personnelles : Nom : Julien Informations forums : Inscription : juin 2007 Messages : 106 Points : 52 Points : 52	Je suis de l'avis d'Ev3r10st. C'est au serveur de gérer cette fonction !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email