IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Mozilla déclare la guerre contre le HTTP non-sécurisé


Sujet :

Sécurité

  1. #41
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    Donc si tu as d'autres arguments montrant que le tout HTTPS est gênant soit pour l'utilisateur, soit pour l'admin du site, je suis tout ouïe.
    Et du point de vu écologique ?
    Le cryptage / décryptage, c'est du temps machine et donc, de la consommation électrique

    Alors pour un internaute, même à l'année, c'est peu de chose voir carrément négligeable
    Mais à l'échelle mondiale, c'est tout autre chose

    Si la généralisation du HTTPS augmente la consommation électrique des datacenter ne serait-ce que de 1%, ça représente quelques mégawatt pour rien.

    Par ailleurs, ça serait assez intéressant de constater la perte d'autonomie que ça représenterai sur un mobile...

  2. #42
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Saverok Voir le message
    Et du point de vu écologique ?
    Le cryptage / décryptage, c'est du temps machine et donc, de la consommation électrique

    Alors pour un internaute, même à l'année, c'est peu de chose voir carrément négligeable
    Mais à l'échelle mondiale, c'est tout autre chose

    Si la généralisation du HTTPS augmente la consommation électrique des datacenter ne serait-ce que de 1%, ça représente quelques mégawatt pour rien.

    Par ailleurs, ça serait assez intéressant de constater la perte d'autonomie que ça représenterai sur un mobile...
    Moi je veux bien, mais d'une part il faudrait des chiffres concret, et non juste de la spéculation (est-ce que tu aurais des références à proposer, même si ce n'est pas exactement ces mesures là dire de se faire au moins une idée ?), et d'autres part il ne faut pas mélanger relatif et absolu : 1% c'est rien, que ce soit 1W ou 1 GW. 1W sur 100W c'est tout aussi négligeable que 1GW sur 100GW.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  3. #43
    Membre averti
    Inscrit en
    Février 2006
    Messages
    707
    Détails du profil
    Informations forums :
    Inscription : Février 2006
    Messages : 707
    Points : 366
    Points
    366
    Par défaut Mozila prend une décision à notre place, il est où l'esprit du libre ?
    Bonjour,

    Je ne comprends pas mozila. En agissant de la sorte, ils semble faire comme apple ou comme les politiciens : prendre les décision en dessus des gens. Où passe la libérté de choix et l'esprit communautaire du logiciel libre ?

    Merci de me renseigner

    Salutations
    Battant

  4. #44
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Battant Voir le message
    Je ne comprends pas mozila. En agissant de la sorte, ils semble faire comme apple ou comme les politiciens : prendre les décision en dessus des gens. Où passe la libérté de choix et l'esprit communautaire du logiciel libre ?
    Nulle part, tu peux toujours reprendre le code de Firefox et le modifié comme tu le souhaites. Libre ne veut pas dire que tu peux faire ce que tu veux avec le code des autres, mais que tu peux t'en faire une copie perso et faire ce que tu veux avec. Si Mozilla veut imposer le HTTPS avec son navigateur, il en a tout à fait le droit, et il devra en assumer les conséquences. Et de ce que j'ai compris, c'est un avis plutôt partagé :
    Toutefois, après une discussion approfondie sur le sujet, la communauté active sur la liste de diffusion de Mozilla s’est mise d’accord sur la nécessité de bien étudier le compromis entre la sécurité et la compatibilité Web.
    Donc le communautaire est toujours là.

    La différence avec Apple, c'est que tu ne peux pas te faire ta propre version le jour où le produit ne te plaît plus. L'analogie avec les politiciens, je laisse ça de côté.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  5. #45
    Membre expert
    Avatar de Muchos
    Homme Profil pro
    Enseignant
    Inscrit en
    Décembre 2011
    Messages
    1 700
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Ardennes (Champagne Ardenne)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Décembre 2011
    Messages : 1 700
    Points : 3 849
    Points
    3 849
    Billets dans le blog
    6
    Par défaut
    HS:
    Citation Envoyé par Matthieu Vergne
    Libre ne veut pas dire que tu peux faire ce que tu veux avec le code des autres
    Si :) L'utilisateur d'un logiciel libre doit pouvoir l'utiliser, le modifier et le partager comme il l'entend. Ce qui fait que, comme vous le dites, on peut faire sa propre version de Firefox si ce navigateur ne nous plaît plus.

  6. #46
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Muchos Voir le message
    Si L'utilisateur d'un logiciel libre doit pouvoir l'utiliser, le modifier et le partager comme il l'entend. Ce qui fait que, comme vous le dites, on peut faire sa propre version de Firefox si ce navigateur ne nous plaît plus.
    Oui, tu peux faire ta propre version, et non changer la version d'un autre. C'est là tout le sens de ma phrase que tu ne cites que partiellement. Détails en spoiler.
    Tu ne peux pas modifier le code des autres. C'est une interprétation commune mais foireuse où les gens croient que n'importe qui peut modifier le code de Mozilla Firefox ou d'un autre projet libre, alors que non : ils peuvent faire une copie de celui-ci et faire ce qu'ils veulent de leur copie, et non ce qu'ils veulent du code d'origine qui reste la propriété de son auteur. Ils peuvent ensuite proposer leur modification au propriétaire du code d'origine, mais c'est lui qui décide si il prend la modif ou non. Un code libre n'est pas un code qu'on peut modifier directement comme on l'entend. Mais bien entendu, je ne parle pas là d'un concept abstrait de code où tous les forks de Firefox seraient le même code, mais bien d'une instance concrète, une copie conforme étant un autre code, syntaxiquement identique mais une autre instance. Je cite Wikipédia :
    Aujourd'hui, un logiciel est considéré comme libre, au sens de la Free Software Foundation, s'il confère à son utilisateur quatre libertés (numérotées de 0 à 3)7 :

    la liberté d'exécuter le programme, pour tous les usages ;
    la liberté d'étudier le fonctionnement du programme et de l'adapter à ses besoins ;
    la liberté de redistribuer des copies du programme (ce qui implique la possibilité aussi bien de donner que de vendre des copies) ;
    la liberté d'améliorer le programme et de distribuer ces améliorations au public, pour en faire profiter toute la communauté.

    L'accès au code source est une condition d'exercice des libertés 1 et 3.
    On parle là d'une instance de programme : l'exécutable de Firefox que tu fais tourner sur ta machine, et non l'exécutable de ton voisin, même si le binaire est une copie conforme. Et comme dit à la fin, l'accès au code source est nécessaire pour pouvoir modifier ton programme (celui qui tourne sur ta machine), et a fortiori distribuer tes changements. Pour cela, il faut que tu ais toi-même une copie du code source que tu peux modifier. Mais ça ne veut pas dire que tu peux modifier le code qui se trouve sur les serveurs de Mozilla ou sur la machine de ton voisin. Donc j'insiste, libre ne veux pas dire que tu peux modifier le code des autres, seulement que tu peux en avoir une copie pour modifier cette dernière.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  7. #47
    Membre éclairé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mars 2011
    Messages
    222
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2011
    Messages : 222
    Points : 766
    Points
    766
    Par défaut
    En ce qui me concerne le seul vrai problème est le prix des certificats délivrés par des autorités reconnues par les principaux acteurs (Mozilla, Microsoft, Apple, Google). Si ils proposent une solution pour obtenir à moindre coût des certificats suffisamment conformes pour ne pas générer des alertes ou des warning ça ne dérangerait pas, mais il faudra que l'autorité ne soit pas reconnue que par les produits mozilla. A moins qu'ils envisagent de proposer un nouveau protocole sécurisé qui ne nécessite pas de certificat?

    Il n'y a encore pas si longtemps (quelques mois, de mémoire), Firefox affichait un warning sur le certificat utilisé par google.fr. Aujourd'hui encore, le cadena affiché par Firefox sur google.fr n'est pas vert mais gris car "Ce site web ne fournit pas d'informations sur son propriétaire". C'est dire que ce n'est pas seulement une question financière.

    J'ai l’impression que c'est plus ou moins l'opinion générale. Cependant je voudrais quand même réagir sur un point que j'ai lu plusieurs fois dans les commentaires: soit disant que la plupart du temps, utiliser une connexion sécurisée ne serait pas très utile. C'est l'occasion de rappeler que si en France, en Europe ou en Amérique du nord la liberté d'expression et d'accès à l'information est relativement bien protégée, c'est loin d'être le cas partout sur la planète. A commencer par la Russie et la Chine.

    Le succès de réseaux protégés comme Tor montre l'intérêt que beaucoup de monde trouve à des connexions sécurisée (pas toujours pour de bonne raisons d'ailleurs, mais c'est une autre histoire). A moment où on vote en France une loi assez laxiste sur le renseignement, il me semble que la nécessité de connexion sécurisée se fera de plus en plus sentir.

    Cela dit, là on ne parle finalement que de la sécurité de la connexion: avec des site de vente en ligne qui sauvegardent nos numéros de cartes bancaires, et plus globalement tous les sites qui se font siphonner leurs bases de données régulièrement, ceux qui nous limitent l'utilisation de mots de passe sécurisés (limite à 8 caractères, pas d'espace ou de caractères spéciaux, voir que des chiffres et qui nous le renvoie par mail), les nouvelles technos qui voudraient utiliser la biométrie comme identification (c'est pratique un genre de mot passe qu'on ne peut pas changer et qui sera le même partout...), les objets connectés ouverts à tous vents.

    Bref, la sécurisation de la connexion n'est qu'un des maillon de la chaînes, et y'a encore beaucoup de maillons à sécuriser.

    Au passage il n'y a pas que les site web mais aussi les plugins/extension qu'il faudrait signer, mais il me semble que ça a justement déjà fait l'objet d'une communication de Mozilla il y a quelques semaines qui promettait (à vérifier) de signer automatiquement et gratuitement les extensions qui seraient déposer sur leur plateforme.

    Il y aussi les applications en général. Par exemple, pendant le développement de Windows 8, Microsoft envisageait d'interdire l'installation d’application non signées sous Windows. Ils ont finalement plus ou moins renoncé, on a quand même le droit à des alerte plein écran qui tente d'empêcher l'installation su soft, sauf à cliquer sur le petit lien pour forcer l'installation.

  8. #48
    Membre expérimenté

    Homme Profil pro
    Retraite
    Inscrit en
    Octobre 2005
    Messages
    477
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 477
    Points : 1 333
    Points
    1 333
    Billets dans le blog
    1
    Par défaut complétement Ouff pour l'industrie le https
    bonjour, je travail encore un peu , mais je fais du site pour des grandes entreprises donc industriel,
    a) ils ne veulent pas de https leurs fournisseurs non pas toujours l'autorisation d'installer un certificat
    b) ont ne trimballe pas toujours de la monnaie
    c) avec de l'expérience le https n'est pas plus sécurisé qu'autre chose
    je m'explique un mot de passe ... est donné pour chaque clients et responsable résultats on arrive vite que le travail prenne le dessus et que les personnes ce prêtes les mots passes
    d’où le https !!!!! et le cryptage ... laisse à désiré si ont l'utilise pour cette raison.
    d) Https pour donnée bancaire aujourd'hui. OUI Pas de banque, qui si vous êtes une entreprise ou que vous faites couramment vos achat ne vous propose pas de passer par la paiewebcarte ou une clef avec un appareil digit

    e) https OUI pour transaction "monnaie" mais si quelqu'un veux vraiment décrypter ???? je me rappel des camions d'espionnage qui écoutaient tous et pour eux ce n'aient pas le https qui vas les arrêter (ici ont joue la parano)

    f) qu'ais-je besoin d'un Https pour faire de la consultation ex: developpez.com ou bien un site de commandes dont les marchés sont fermés et dont la marchandise n'arriveras que chez le demandeur et que l'adresse ne peut être enregistré via le web

    g) la gratuité du certificats pour le moment je n'ai pas vue cela pour des sites avec plusieurs client lourds ect... seulement pour des trucs simples ou alors s'autocertifié c'est un truc que j'utilise même en clients lourds.

    bref fermé la porte au http c'est aussi faire de la parano , un site correct (bon je ne parle pas de firewall ....) impossible de rentrer dedans et quand à la contrefaçon ce n'est pas le https qui vas l'empêcher (qui vas voir ou consulter le certificats certainement pas les utilisateurs en entreprise ils s'en foute complètement pas leurs problème la sécurité (validité du certificats ils ont autre chose à faire. )

    je ne suis pas anti https mais pourquoi forcé de prendre un trucs qui nécessiteras des frais et même une PME trouve que c'est chère (mise en place achat du certificats ....)

    moi je me dis que c'est un troll si on réfléchie bien c'est débile ... la débilité n'est pas interdite aux informaticiens (avant je le croyais) @bientôt

  9. #49
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    Le but de l'https n'est pas de sécurisé le site ou le serveur web, mais les informations qui transitent entre le client et le serveur.
    Sans parler des pirates, sa permettra d'éviter par exemple au gouvernement francais de connaitre les données que l'on envoie/reçoit sur des sites internet, c'est une façon de dire que "je t'emmerde Hollande avec ta loi liberticide" avec en prime l'utilisation d'un vpn polonais .


    Le https n'est qu'une fin en soit, firefox avait publier dans firefiox 34 (mais supprimer dans firefox 34.1 pour cause d'un problème de sécurité) un moyen de crypter les données dans le protocole http.

  10. #50
    Candidat au Club
    Profil pro
    Inscrit en
    Avril 2006
    Messages
    2
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Avril 2006
    Messages : 2
    Points : 3
    Points
    3
    Par défaut SSL!
    C"est peut-être leurs intention de proposer des certificats SSL moins cher ou gratuit?!

  11. #51
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    C'est ce que je pense. Ça doit être en préparation depuis Snowden et comme les états se mettent à légiférer ils se bougent les fesses.

    Par contre a priori le HTTPS n'apporte rien de plus, vu que les métadonnées sont toujours là, seul le contenu étant crypté. Après, on s'assure que le contenu ne soit pas écouté "accidentellement".
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  12. #52
    Membre expérimenté

    Homme Profil pro
    Retraite
    Inscrit en
    Octobre 2005
    Messages
    477
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 477
    Points : 1 333
    Points
    1 333
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Le but de l'https n'est pas de sécurisé le site ou le serveur web, mais les informations qui transitent entre le client et le serveur.
    Sans parler des pirates, sa permettra d'éviter par exemple au gouvernement francais de connaitre les données que l'on envoie/reçoit sur des sites internet, c'est une façon de dire que "je t'emmerde Hollande avec ta loi liberticide" avec en prime l'utilisation d'un vpn polonais .


    Le https n'est qu'une fin en soit, firefox avait publier dans firefiox 34 (mais supprimer dans firefox 34.1 pour cause d'un problème de sécurité) un moyen de crypter les données dans le protocole http.
    juste un truc pour continuer la conversation, en France on limite le cryptage 128bit pourquoi parce que le gouvernement peux décrypter donc les machine puissante ils les ont je comprend toujours pas pourquoi https même si ce que tu dis pourrais allez dans ce sens

  13. #53
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 805
    Points
    4 805
    Billets dans le blog
    6
    Par défaut
    Citation Envoyé par JPLAROCHE Voir le message
    juste un truc pour continuer la conversation, en France on limite le cryptage 128bit pourquoi parce que le gouvernement peux décrypter donc les machine puissante ils les ont je comprend toujours pas pourquoi https même si ce que tu dis pourrais allez dans ce sens
    j'ai pas spécialement envie de re-basculer mes serveur sur des certificats 128 bits hors que j'ai du cryptage en 256
    Rien, je n'ai plus rien de pertinent à ajouter

  14. #54
    Membre actif
    Homme Profil pro
    Expertise sécurité
    Inscrit en
    Avril 2013
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expertise sécurité

    Informations forums :
    Inscription : Avril 2013
    Messages : 185
    Points : 268
    Points
    268
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Moi je me suis auto-certifier sur mon serveur dédié, bizarrement on pourrais croire que mon site est un site pirate (message d'alerte, barre d'adresse rouge...) alors que techniquement mon site et plus sécurisé qu'avec http uniquement.

    C'est un peu le monde a l'envers.
    C'est un peu fort de dire ça.
    Le principe de l'auto-certification ce n'est pas de dire : "Je me délivre un certificat à moi-même donc je suis plus sûr qu'avant" => FAUX FAUX ET FAUX.
    Partant de ce principe à quoi sert une CA ?

    Il ne faut pas tout mélanger.
    Désolé ça tombe sur toi mais je suis un peu las de lire des posts de gens qui mélange tout sur les certificats en disant qu'une fois qu'il y en a un c'est la fête à neuneu...

    Citation Envoyé par sazearte Voir le message
    Je pense être bien placer pour te répondre, que NON!!!!

    Mon site est en https, je me suis auto certifier, résultat ?
    Les navigateurs ont des barre rouges de partout, certain n'affiche même pas le site complétement (opéra), il faut autoriser le js etc..., pour entrer dans mon site faut cliquer sur "Je prend le risque" dans firefox, et enfin la barre de navigation toute rouge, qui n'inspira pas vraiment confiance.

    Tu croit sincèrement qu'un utilisateur lambda qui n'y connait rien en info va aller sur mon site ?
    Je ne vais pas me répéter mais attention ... De l'auto-signé c'est pas du tout rassurant et c'est normal !!!

    Citation Envoyé par Spartacusply Voir le message
    Ben ouais, moi je trouve ça complètement normalement, le principe d'un certificat c'est qu'il soit signé par un tiers de confiance. Si cette condition n'est pas remplie il est complètement normal que le navigateur affiche une alerte à ce sujet puisque seul toi atteste assure que c'est bien toi (super comme garantie !)
    Voilà

    Mon bilan sur ce sujet c'est que je pense que Mozilla ne souhaite pas "éradiquer" les sites en HTTP, ni même forcer les utilisateurs à tout passer en HTTPS tout de suite, mais plutôt éduquer la population à comprendre que les sites en HTTP ne sont pas sûrs. Le seuls sites qui peuvent être considérés comme "sûrs" sont ceux qui sont chiffrés avec un certificat délivrés par un tiers de confiance (et pas moi même dans mon garage).

    L'idée et l'envie est bonne ! Même très bonne. On ne peut pas reprocher à Mozilla de vouloir sensibiliser et améliorer la sécurité de la navigation de ces utilisateurs.

    Pour les fans de la théorie du complot :

    Citation Envoyé par sazearte Voir le message
    En juillet, je crois que mozilla vas sortir un projet proposant de certifier ces site gratuitement, je me rappelle plus du nom, bref coïncidence ?
    Non ce n'est pas une coïncidence. C'est logique !
    C'est normal de proposer une solution associé à la démarche.

    @+

    JayGr

  15. #55
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    Il ne faut pas tout mélanger.
    Désolé ça tombe sur toi mais je suis un peu las de lire des posts de gens qui mélange tout sur les certificats en disant qu'une fois qu'il y en a un c'est la fête à neuneu...
    Si tu as un certificat ssl auto-signé, théoriquement la connexion est crypté, donc plus sécurisé qu'avant avec du simple http.
    J'ai dit site internet au lieu de connexion,mais bon on va pas jouer sur les mots.

    Non ce n'est pas une coïncidence. C'est logique !
    C'est normal de proposer une solution associé à la démarche.
    C'était humoristique, évidement que ce n'est pas une coïncidence a 2-3 mois de la sortie du projet.

    j'ai pas spécialement envie de re-basculer mes serveur sur des certificats 128 bits hors que j'ai du cryptage en 256
    Si le gouvernement me l'ordonnait, je lui répondrais qu'il peut aller se faire mettre ou je pense, et je louerais un serveur a l'étranger si la justice me force la main.

  16. #56
    Membre actif
    Homme Profil pro
    Expertise sécurité
    Inscrit en
    Avril 2013
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expertise sécurité

    Informations forums :
    Inscription : Avril 2013
    Messages : 185
    Points : 268
    Points
    268
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Si tu as un certificat ssl auto-signé, théoriquement la connexion est crypté, donc plus sécurisé qu'avant avec du simple http.
    J'ai dit site internet au lieu de connexion,mais bon on va pas jouer sur les mots.
    Si tu as un certificat SSL auto-signé, tu ne peux pas être sûr que la personne qui a délivré ce certificat est un tiers de confiance et par conséquent, ta connexion à beau être chiffrée (et pas cryptée -> Je joue sur les mots ) ça ne te rassure pas plus sur la sécurité de ta connexion.

    Une exemple concret :
    Demain si je te propose de te connecter sur un site qui est celui d'un partenaire de ta banque. Ce site est auto-signé. Super !!! C'est un partenaire de ta banque, tu le connais . Il te demande tes infos de connexion puisque c'est un partenaire tu fais quoi ? Est-ce que tu penses que tu vas accorder autant confiance à ce certificat puisque finalement tu ne sais pas vraiment qui est derrière.

    Enfin (puisque j'aime que les choses soient claires), je te conseille de lire ça : Man in the middle
    Et ensuite d'essayer de comprendre le risque associé au certificat auto-signé.
    Tu as plein d'infos sur le net. Les certificats auto-signé existent uniquement pour les tests... Le reste c'est 0 sécurité.

    Citation Envoyé par sazearte Voir le message
    C'était humoristique, évidement que ce n'est pas une coïncidence a 2-3 mois de la sortie du projet.
    J'avais mal compris . Autant pour moi.

    @+

  17. #57
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    Si tu as un certificat SSL auto-signé, tu ne peux pas être sûr que la personne qui a délivré ce certificat est un tiers de confiance et par conséquent, ta connexion à beau être chiffrée (et pas cryptée -> Je joue sur les mots ) ça ne te rassure pas plus sur la sécurité de ta connexion.

    Moi je parle d'un point de vu purement technique, toi de confiance, donc on ne parle pas de ma même chose, mais je suis a 100% d'accord avec toi sur ce que tu dis.


    Demain si je te propose de te connecter sur un site qui est celui d'un partenaire de ta banque.
    Sa c'est l'exemple extrême, et non je ne ferais pas confiance a ce site bancaire, si developpez.com mais un certificat auto signé, auras tu peur par contre ? car ce n'est qu'un forum, donc a priori tu n'a pas d'information sensible a mettre dessus.

  18. #58
    Membre actif
    Homme Profil pro
    Expertise sécurité
    Inscrit en
    Avril 2013
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expertise sécurité

    Informations forums :
    Inscription : Avril 2013
    Messages : 185
    Points : 268
    Points
    268
    Par défaut
    Citation Envoyé par sazearte Voir le message
    si developpez.com mais un certificat auto signé, auras tu peur ? car ce n'est qu'un forum, donc a priori tu n'a pas d'information sensible a mettre dessus

    C'est pour ça qu'il est en HTTP. Et pas en HTTPS.
    Reste le fait que si je le voyais en auto-signé je me dirais que ce n'est pas professionnel puisque pas sécurisé.

  19. #59
    Membre chevronné

    Homme Profil pro
    Mentaliste
    Inscrit en
    Mars 2008
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Mentaliste
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 872
    Points : 1 813
    Points
    1 813
    Par défaut
    Citation Envoyé par Saverok Voir le message
    Et du point de vu écologique ?
    Le cryptage / décryptage, c'est du temps machine et donc, de la consommation électrique

    Alors pour un internaute, même à l'année, c'est peu de chose voir carrément négligeable
    Mais à l'échelle mondiale, c'est tout autre chose

    Si la généralisation du HTTPS augmente la consommation électrique des datacenter ne serait-ce que de 1%, ça représente quelques mégawatt pour rien.

    Par ailleurs, ça serait assez intéressant de constater la perte d'autonomie que ça représenterai sur un mobile...
    T'as déjà essayé de calculer combien de mégawatts supplémentaires sont consommés pour des milliers de commentaires inutiles sur les pages Web ?
    Tiens, rien que sur developpez.net tu fais bouton droit -> code source de la page, et tu vas voir. Tu copie colle sur un optimiseur Web et tu verras que même en version compressée zip ou gz, il y a une différence de 5 %.
    Tous les sites Webs sont comme ça : la perte est déjà gigantesque sur plein d'autres points qui ne sont pas - et ne seront sûrement jamais - écologique.
    C'est notre système humain de consommation qui veut ça.
    On finira tous par mourir à cause de notre propre auto-destruction, mais je ne m'en fais pas : rien ne se perd, rien ne se crée, tout se transforme. Merci Mr Lavoisier !
    Et ne pleure pas pour quelques mégawatts, c'est un grain de sable dans une plage de sable blanc !
    .I..

  20. #60
    Membre expert
    Avatar de Spartacusply
    Homme Profil pro
    Développeur Web
    Inscrit en
    Mai 2011
    Messages
    1 723
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2011
    Messages : 1 723
    Points : 3 274
    Points
    3 274
    Par défaut
    tu verras que même en version compressée zip ou gz, il y a une différence de 5 %.
    J'ai pas compris le rapport entre ça et le commentaire inutile (et j'ai pas compris le coup de gueule aussi...)
    Un message utile vous a aidé ? N'oubliez pas le

    www.simplifions.fr - Simplifier vos comptes entre amis !

Discussions similaires

  1. Réponses: 2
    Dernier message: 01/09/2010, 10h36
  2. IIS + SSL, HTTPS non fonctionnel
    Par florianlyon dans le forum IIS
    Réponses: 1
    Dernier message: 02/06/2009, 16h02
  3. [Wamp] Entête HTTP non valide
    Par xunil2003 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 23/03/2009, 14h31
  4. Réponses: 1
    Dernier message: 19/08/2008, 01h48
  5. Connexion FTP marche, HTTP non plus
    Par PhiberOptik dans le forum Ubuntu
    Réponses: 5
    Dernier message: 19/05/2008, 15h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo