IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Affichage des résultats du sondage: Quel protocole utilisez-vous pour vos sites ?

Votants
31. Vous ne pouvez pas participer à ce sondage.
  • HTTPS

    13 41,94%
  • HTTP

    12 38,71%
  • Autres

    5 16,13%
  • 1 3,23%
Sécurité Discussion :

Doit-on chiffrer le Web en entier ?


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Avatar de Francis Walter
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2012
    Messages
    2 315
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2012
    Messages : 2 315
    Points : 26 889
    Points
    26 889
    Par défaut Doit-on chiffrer le Web en entier ?
    Doit-on chiffrer le Web en entier ?
    des experts se prononcent sur l’utilisation du protocole HTTPS

    Le récent bogue Heartbleed a remis en cause la sécurité d’Internet. Bien avant la découverte du bogue, la communauté réfléchissait déjà sur un renforcement de la sécurité d’Internet. Plusieurs experts en sécurité et du web se sont prononcés à propos de la sécurité sur Internet. On se demande désormais s’il ne faut pas chiffrer Internet dans son entièreté.

    Il y a seulement quelques jours, Matt Cutts, chargé de la lutte antispam chez Google, a annoncé que Google envisage de stimuler la recherche des sites utilisant des algorithmes de chiffrement de données, une décision qui pourrait contraindre la plupart des sites à chiffrer leurs données. Cela pourrait réduire les espionnages faits par les gouvernements au moyen d’Internet, limiter les vols de données avec un trafic sécurisé, etc.

    Le protocole HTTPS a été créé pour protéger les informations de connexion à un site telles que les mots de passe, de même que celles de carte de crédit. Nombreux sont ces sites qui utilisent ce protocole, mais dans la réalité, seuls quelques-uns tels que Facebook et Gmail l’utilisent vraiment pour protéger leur trafic sur Internet. Le protocole HTTPS permet de chiffrer les données de telle sorte que seuls le serveur et l’ordinateur de l’utilisateur parviennent à comprendre les messages échangés lors de la communication.

    En effet, l’utilisation du protocole HTTPS stipule que soit le protocole SSL ou soit TLS est employé pour sécuriser le trafic réseau. Certes, les protocoles SSL/TLS possèdent de nombreuses failles. Moxie Marlinspike, un ancien ingénieur chez Twitter, avait eu à démontrer plusieurs bogues sur lesdits protocoles. Toutefois, il stipule qu’il est toujours mieux d’utiliser le HTTPS car « il y a de la valeur à rendre le trafic réseau aussi opaque que possible, même le contenu statique ». En outre, il aurait aimé que le texte brut sur Internet soit aussi chiffré.

    Rappelons qu’Edward Snowden, ex-analyste de la NSA, a recommandé que les données sur Internet soient chiffrées de bout en bout. Sa proposition a été appuyée par Tim Berners-Lee, le père du web. Snowden explique que ce genre de chiffrement limiterait les espionnages de masse faits par les gouvernements. Eric Butler, un développeur de logiciels, confirme l’affirmation de Snowden. Selon Butler, il est beaucoup plus facile aux gouvernements ou aux criminels d’espionner ce que font les utilisateurs sur Internet lorsque c’est le protocole HTTP qui est utilisé.

    Non seulement le HTTPS chiffre les données échangées entre un serveur et un ordinateur, mais vérifie également que la donnée reçue provient effectivement de la source attendue, une vérification que le HTTP ne pourrait faire. « Toute sorte d’attaques qui vise à inciter la victime à se connecter au serveur du pirate à la place du serveur réel est stoppée par le HTTPS », a écrit Micah Lee, un technologue de The Intercept. Il ajoute aussi que les éditeurs de logiciels doivent impérativement utiliser le protocole HTTPS sur leur site de téléchargement sans quoi, ils mettent la vie de leurs utilisateurs en danger.

    Le protocole HTTPS possède de nombreux atouts pour la sécurité du trafic sur Internet. Cependant, il est encore très peu utilisé par les sites web. L’une des principales raisons du faible taux d’utilisation serait le coût élevé des certificats TLS, avait affirmé Yves Lafon, un expert en HTTPS du Consortium World Wide Web (WWW). En fonction du niveau de sécurité désiré et du type de certificat, le coût varie entre 10 et 1000 dollars l’année. Une seconde raison serait le fait que le HTTPS augmente la consommation en ressources et serait capable de ralentir la vitesse d’échange de données des sites.

    Par ailleurs, les petits sites utilisant des hébergements mutualisés pas chers ainsi que les sites utilisant des réseaux de distribution de contenus (CND) seraient confrontés à des difficultés lors de la mise en place d’un certificat unique ou lors de l’application du protocole SSL.

    Pour une meilleure utilisation d’Internet, pour un trafic sécurisé sur Internet et pour la sécurité des données, le protocole HTTPS serait le moyen idéal. Les sites ne devraient donc pas tardé à l’adopter afin d’espérer d’avoir un Internet sans espionnage et sans inquiétude.

    Source : Wired

    Et vous ?

    Quel protocole utilisez-vous ? Pourquoi ?
    Vous avez envie de contribuer au sein du Club Developpez.com ?

    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, ...etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Membre à l'essai
    Homme Profil pro
    Collégien
    Inscrit en
    Avril 2014
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Collégien
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : Avril 2014
    Messages : 1
    Points : 14
    Points
    14
    Par défaut
    Vu le prix d’un certificat ssl, pour les petits sites ou pour les sites qui ne propose pas d’inscription, cela ne me semble pas nécessaire.

  3. #3
    Membre éprouvé

    Homme Profil pro
    Ingénieur logiciel embarqué
    Inscrit en
    Juillet 2002
    Messages
    386
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur logiciel embarqué
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juillet 2002
    Messages : 386
    Points : 1 163
    Points
    1 163
    Par défaut
    En entier ? irréaliste !
    Un chiffrement plus systématique ? Quel en serait le cout (certificat/matériel/énergétique)?
    On inclue l'auto-signature ? Sinon c'est les autorités de certifications qui vont être contentes !

    A part pour protéger les utilisateurs de l'espionnage de leur FAI (qui en fait vois passer tout les paquet et peut donc facilement se retrouver en position avantageuse pour une lecture en clair si le protocole de chiffrement est standard) j'ai du mal à voir la pertinence de passer par du https (ou équivalent) pour consulter une page Wikipédia (même si c'est déjà possible ). Il me manque probablement des élément pour comprendre(si vous avez ces élément je ne demande qu'a comprendre), car dans l'immédiat je ne vois pas l'intérêt.

    Mon site perso? HTTP fait bien l'affaire !

  4. #4
    Membre du Club
    Homme Profil pro
    baz
    Inscrit en
    Novembre 2006
    Messages
    43
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : baz
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Novembre 2006
    Messages : 43
    Points : 52
    Points
    52
    Par défaut
    Citation Envoyé par forthx Voir le message
    En entier ? irréaliste !
    Non, ça se fait sans problème. L'IETF songe carrément à l'intégrer en natif (voir ici).

    Un chiffrement plus systématique ? Quel en serait le cout (certificat/matériel/énergétique)?
    Le coût est un faux problème.
    Le coût des certificats actuels ne sert qu'à financer l'assurance d'un remboursement en cas de défaillance de SSL/TLS sur un site marchand. Aucunement à sécuriser réellement ta communication et encore moins à identifier le site en face, SSL/TLS étant trop faible aujourd'hui à cause du trop gros nombre de Root-CA existantes. Qui fait confiance au gouvernement chinois ou à Microsoft ? Les MITM sont monnaies courantes avec SSL/TLS et d'une facilité déconcertante dès que tu as accès à une Root-CA.
    On pourrait imaginer dissocier émission d'un certificat (qui serait alors gratuit ou en tout cas abordable) et assurances (cher).
    Et en profiter pour virer toutes ces Root-CA à la con ou en tout cas ne plus leur accorder autant de crédit, et privilégier le trust-on-first-contact pour authentifier un site (ce qui d'ailleurs demanderait à pas mal de prestataires de services de revoir leur infra SSL/TLS toutes moisies basées sur des CDN et whatmille certificats qui fait que chaque requête web ou presque vous présente un nouveau certificat…

    A part pour protéger les utilisateurs de l'espionnage de leur FAI (qui en fait vois passer tout les paquet et peut donc facilement se retrouver en position avantageuse pour une lecture en clair si le protocole de chiffrement est standard)
    SSL/TLS étant un chiffrement point-à-point, ton FAI n'a absolument pas accès au contenu en clair d'un échange chiffré par SSL/TLS. Même s'il avait accès à l'intégralité des paquets du monde.
    Seule l'accès à la clef privée du serveur peut déchiffrer le contenu. Ou une attaque par bruteforce, mais accessible uniquement à des entités gouvernementales type NSA.

    j'ai du mal à voir la pertinence de passer par du https (ou équivalent) pour consulter une page Wikipédia (même si c'est déjà possible ). Il me manque probablement des élément pour comprendre(si vous avez ces élément je ne demande qu'a comprendre), car dans l'immédiat je ne vois pas l'intérêt.
    Metadata, « anonymisation » du traffic, vie privée…
    T'as pas à gueuler en clair à la moitié de la planète « Je viens de consulter la page « Chatons » sur Wikipedia ».

    Mon site perso? HTTP fait bien l'affaire !
    HTTPS fait encore plus l'affaire

  5. #5
    Membre chevronné
    Avatar de kedare
    Homme Profil pro
    Network Automation Engineer
    Inscrit en
    Juillet 2005
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Network Automation Engineer

    Informations forums :
    Inscription : Juillet 2005
    Messages : 1 548
    Points : 1 860
    Points
    1 860
    Par défaut
    On passera tout en HTTPS le jour ou le domaine des PKI ne sera plus dominé par des entreprises capitalistes commerciales qui vous vendent des certificats SSL à prix d'or...

    Il y a bien des alternatives comme cacert.org, mais bon, on se doute bien que les "gros" fournisseurs SSL font des chèques aux différents fournisseurs d'OS pour ne pas intégrer les certificats racines d'organisation SSL telle que celle ci

  6. #6
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 167
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 167
    Points : 4 647
    Points
    4 647
    Par défaut
    Citation Envoyé par Aéris22 Voir le message
    HTTPS fait encore plus l'affaire
    J'y passerais, quand les certificats multi domaine coûteront un prix abordable (ex : https://www.gandi.net/ssl/grid ). Je me vois pas foutre le prix de ma location serveur en certificat. Surtout que ça reste du perso...

  7. #7
    Membre du Club
    Homme Profil pro
    baz
    Inscrit en
    Novembre 2006
    Messages
    43
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : baz
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Novembre 2006
    Messages : 43
    Points : 52
    Points
    52
    Par défaut
    Citation Envoyé par Zefling Voir le message
    J'y passerais, quand les certificats multi domaine coûteront un prix abordable (ex : https://www.gandi.net/ssl/grid ). Je me vois pas foutre le prix de ma location serveur en certificat. Surtout que ça reste du perso...
    Dans l'ordre de préférence/sécurité/confiance :
    0 - Autosigné, c'est bien (trust-on-first-contact, tout ça tout ça…)
    1 - CACert, c'est bien aussi (pas de certification à la con, un bon cercle de confiance…)
    loin - StartSSL (cert gratos mais pas multidomaine)
    trop loin - le reste des root CA

    Et dans tous les cas, faire comprendre aux gens qu'il ne faut SURTOUT pas avoir confiance dans les certificats commerciaux.
    En terme de sécurité & confiance, un auto-signé possède un degré bien supérieur à tout ce que pourra jamais proposer une CA commerciale.
    Faut juste bien faire rentrer dans les mœurs qu'une fingerprint d'un certificat SSL/TLS, c'est pas juste pour faire joli et amuser les geeks…

  8. #8
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2012
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2012
    Messages : 17
    Points : 59
    Points
    59
    Par défaut Internet ?
    Visiblement l'auteur de l'article ne comprend pas de quoi il parle. L'Internet ne se réduit pas au web. Certes, TLS est aussi employé dans d'autres protocoles (SMTPS, IMAPS, etc), mais là il est clairement question de HTTPS, et donc uniquement du Web.

    CACert vient d'être retiré de plusieurs OSes libres, parce que cette organisation n'est pas sûre. Ils ont échoués à tous les audits sécurité qu'ils se sont imposés https://lwn.net/Articles/590879/ Il n'y a pas de complot économique visant à le faire disparaître. Le problème des certificats, c'est qu'il faut mettre en place une structure, et payer des gens pour s'en occuper, car c'est largement un boulot à plein temps. Et tant que CACert ne fera pas les choses sérieusement, personne ne pourra les considérer comme fiables.

  9. #9
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 167
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 167
    Points : 4 647
    Points
    4 647
    Par défaut
    Citation Envoyé par Aéris22 Voir le message
    Dans l'ordre de préférence/sécurité/confiance :
    0 - Autosigné, c'est bien (trust-on-first-contact, tout ça tout ça…)
    1 - CACert, c'est bien aussi (pas de certification à la con, un bon cercle de confiance…)
    loin - StartSSL (cert gratos mais pas multidomaine)
    trop loin - le reste des root CA

    Et dans tous les cas, faire comprendre aux gens qu'il ne faut SURTOUT pas avoir confiance dans les certificats commerciaux.
    En terme de sécurité & confiance, un auto-signé possède un degré bien supérieur à tout ce que pourra jamais proposer une CA commerciale.
    Faut juste bien faire rentrer dans les mœurs qu'une fingerprint d'un certificat SSL/TLS, c'est pas juste pour faire joli et amuser les geeks…
    Le seul soucis, c'est que l’auto-signé fait apparaître un écran d’avertissement qui peut faire fuir les visiteurs... Pour l'instant, je le fait juste pour la partie mail, mais je me vois mal de faire sur l'intégralité de tous les domaines et sous-domaines pour on vienne me dire qu'il y a un message bizarre quand on veut accéder à un des sites.

  10. #10
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Citation Envoyé par Zefling Voir le message
    Le seul soucis, c'est que l’auto-signé fait apparaître un écran d’avertissement qui peut faire fuir les visiteurs... Pour l'instant, je le fait juste pour la partie mail, mais je me vois mal de faire sur l'intégralité de tous les domaines et sous-domaines pour on vienne me dire qu'il y a un message bizarre quand on veut accéder à un des sites.
    Même réflexion que toi :/

  11. #11
    Rédacteur/Modérateur

    Avatar de SylvainPV
    Profil pro
    Inscrit en
    Novembre 2012
    Messages
    3 375
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2012
    Messages : 3 375
    Points : 9 944
    Points
    9 944
    Par défaut
    Citation Envoyé par Aéris22 Voir le message
    Metadata, « anonymisation » du traffic, vie privée…
    T'as pas à gueuler en clair à la moitié de la planète « Je viens de consulter la page « Chatons » sur Wikipedia ».
    Tu peux m'expliquer pourquoi la moitié de la planète surveillerait mes requêtes HTTP ?

    C'est bien beau de vouloir mettre du HTTPS partout, comme on voudrait teinter les vitres de toutes les voitures. Ne pas oublier que dans la majorité des cas, les problèmes de confidentialité et de vol de données proviennent d'une erreur humaine. Appelez ça "social hacking" ou piège à cons, c'est encore ce qu'il y a de plus simple et efficace.
    One Web to rule them all

  12. #12
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Citation Envoyé par Francis Walter Voir le message
    Il ajoute aussi que les éditeurs de logiciels doivent impérativement utiliser le protocole HTTPS sur leur site de téléchargement sans quoi, ils mettent la vie de leurs utilisateurs en danger.
    Faut pas exagérer non plus.
    Le fond de l'article est bon mais attention à garder la mesure des choses car ces exagérations décrédibilisent l'articles.

    Par contre, je me pose pas de question sur le coût.
    Mais pas du côté des certificats, car le coût baissera avec l'échelle mais plus du côté des serveurs : si cryptage de bout en bout : pas de cache possible
    Forcément, cela aura un coût sur les serveurs du même que sur le réseau.
    Le web sera également plus lent par la disparition des serveurs de cache de même par l’augmentation des requêtes d’authentification/validation dues à l'utilisation des certificats.

  13. #13
    Membre du Club
    Homme Profil pro
    baz
    Inscrit en
    Novembre 2006
    Messages
    43
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : baz
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Novembre 2006
    Messages : 43
    Points : 52
    Points
    52
    Par défaut
    Citation Envoyé par Zefling Voir le message
    Le seul soucis, c'est que l’auto-signé fait apparaître un écran d’avertissement qui peut faire fuir les visiteurs... Pour l'instant, je le fait juste pour la partie mail, mais je me vois mal de faire sur l'intégralité de tous les domaines et sous-domaines pour on vienne me dire qu'il y a un message bizarre quand on veut accéder à un des sites.
    Je regrette effectivement que ce message d'alerte est aussi anxiogène.
    Ça devrait même être l'inverse qui devrait se produire, avec un message bien anxiogène quand on visite du HTTPS certifié par une autorité de certification non maîtrisable (« Attention, le site que vous visitez est approuvé par 1 seule des 437 autorités de certification embarquées dans ce navigateur, parmis lequelles le gouvernement Chinois, Microsoft, le gouvernement Turc, les services secrets Français, Google, et au moins une dizaine d'autorités ayant déjà été compromises par le passé et autant d'entités états-uniens contrôlées par la NSA. Êtes-vous sûr de vouloir continuer et de faire confiance à ce site qui n'est peut-être pas celui qu'il prétend être ? »), et un message simple de validation d'un certificat autosigné (« Ce site indique être signé par XXXX avec le n° de série YYYY. Avant de continuer, vous pouvez confirmer auprès de XXXX par tout moyen que vous jugerez fiable (téléphone, messagerie instantanée avec OTR, courriel signé avec GPG…) que ce site lui appartient bien. Voulez-vous continuer ? »).

    Citation Envoyé par SylvainPV Voir le message
    Tu peux m'expliquer pourquoi la moitié de la planète surveillerait mes requêtes HTTP ?

    C'est bien beau de vouloir mettre du HTTPS partout, comme on voudrait teinter les vitres de toutes les voitures. Ne pas oublier que dans la majorité des cas, les problèmes de confidentialité et de vol de données proviennent d'une erreur humaine. Appelez ça "social hacking" ou piège à cons, c'est encore ce qu'il y a de plus simple et efficace.
    HTTP = plain text = tout routeur entre toi et ton site consulté qui voit ce que tu fais.
    Donc de base, HTTP = tu gueules à la moitié de la planète (vu que 99% des sites consultés sont hors de France voire d'Europe) ce que tu visites.

    En prime, je ne sais pas où tu as hiberné cette dernière année, mais on a eu Snowden qui est passé par là et on a vu surgir du PRISM, du XKEYSCORE, du LUSTRE, la NSA, le GCHQ et la DGSI, pluggés comme des porcs sur les fibres transatlantiques… Toutes tes communications sont mises sur écoute…
    https://nsa-observer.laquadrature.net/

  14. #14
    Membre du Club
    Homme Profil pro
    baz
    Inscrit en
    Novembre 2006
    Messages
    43
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : baz
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Novembre 2006
    Messages : 43
    Points : 52
    Points
    52
    Par défaut
    Citation Envoyé par Saverok Voir le message
    Si cryptage de bout en bout : pas de cache possible
    Forcément, cela aura un coût sur les serveurs du même que sur le réseau.
    Le web sera également plus lent par la disparition des serveurs de cache de même par l’augmentation des requêtes d’authentification/validation dues à l'utilisation des certificats.
    Je sais pas où tu as vu ça, mais il n'y a pas de serveur cache sur le réseau… Au mieux, c'est le serveur lui-même qui sert de cache avant chiffrement, et s'évite donc la reconstruction de ses pages à chaque requête. Le chiffrement ne changement strictement rien là-dedans.

    Pire, avoir des serveurs de cache tierces, c'est une violation claire et nette de la neutralité du réseau, avec des serveurs qui vont se mettre à inspecter le traffic pour savoir quoi en faire, ainsi que la fin de ta vie privée vu qu'ils seraient alors capable d'associer à ton adresse IP cliente tout le contenu que tu as visité et qu'ils ont mis en cache…

    Enfin, si tu as un jour à te poser la question du cache, c'est que tu fais mal les choses. Le besoin de cache ne se fait sentir que parce que le web d'aujourd'hui est hyper centralisé, avec quelques gros serveurs (Google, Facebook, Amazon, Youtube…) qui servent des milliards de clients, et génèrent un traffic ultra assymétrique (peu de débit client->serveur, beaucoup de débit serveur->client).
    Alors qu'il faudrait un réseau acentré, avec tout le monde quasiment autant consommateur que producteur. Et dans ce cas, la question de caches tiers ne se pose même plus.

  15. #15
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Citation Envoyé par Aéris22 Voir le message
    Alors qu'il faudrait un réseau acentré, avec tout le monde quasiment autant consommateur que producteur. Et dans ce cas, la question de caches tiers ne se pose même plus.
    En même temps, toutes les connexion internet que j'ai eu avait toujours un débit d'upload de l'ordre du dixième du débit de download, on va pas devenir producteur avec un modèle comme celui la.

  16. #16
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Citation Envoyé par Aéris22 Voir le message
    Je sais pas où tu as vu ça, mais il n'y a pas de serveur cache sur le réseau… Au mieux, c'est le serveur lui-même qui sert de cache avant chiffrement, et s'évite donc la reconstruction de ses pages à chaque requête. Le chiffrement ne changement strictement rien là-dedans.

    Pire, avoir des serveurs de cache tierces, c'est une violation claire et nette de la neutralité du réseau, avec des serveurs qui vont se mettre à inspecter le traffic pour savoir quoi en faire, ainsi que la fin de ta vie privée vu qu'ils seraient alors capable d'associer à ton adresse IP cliente tout le contenu que tu as visité et qu'ils ont mis en cache…

    Enfin, si tu as un jour à te poser la question du cache, c'est que tu fais mal les choses. Le besoin de cache ne se fait sentir que parce que le web d'aujourd'hui est hyper centralisé, avec quelques gros serveurs (Google, Facebook, Amazon, Youtube…) qui servent des milliards de clients, et génèrent un traffic ultra assymétrique (peu de débit client->serveur, beaucoup de débit serveur->client).
    Alors qu'il faudrait un réseau acentré, avec tout le monde quasiment autant consommateur que producteur. Et dans ce cas, la question de caches tiers ne se pose même plus.
    Tu décris le web 3.0 ou l'ensemble du réseau est en P2P.
    Le web parfait serait ainsi...

    La réalité est bien différente et tu le dis aussi : le réseau est asymétrique d'où l’existence des serveurs de cache (Akamaï est le plus connu).
    L'idée est de reproduire les données génériques sur des serveurs répartis sur le réseau pour fournir ces données par le plus court chemin et surtout avec le max de chemin alternatif et éviter les requêtes systématiques aux serveurs.
    Autrement dit, tous les X temps, le serveur de ton site fourni 1 fois l'image du logo qui est reproduite sur les serveurs de cache qui ensuite se chargent de fournir cette image aux internautes laissant ton serveur traiter tranquillement les "vrais" requêtes nécessitant un traitement spécifique par ton site...
    Autrement dit, sans cache, l'intégralité des requêtes HTTP (y compris les images, les css, etc.) parviennent jusqu'à ton serveur et bien qu'ils s'agissent de micro requêtes, ton serveurs est submergés et tombe... on appelle ça comment ? un déni de service !

    Il s'agit de caches génériques qui fournissent le contenu générique en fonction de la requête HTTP et non de l'IP appelant.

    Il n'est pas question de savoir si c'est bien ou mal (la mise en cache et la délivrance du contenu caché implique une lecture de toutes les requêtes HTTP), cela s'est mis en place pour pallier aux failles du réseau.
    Cela l'a tellement pallié qu'il n'est plus possible de faire sans maintenant...
    Sauf bien sûr, si tu souhaites revenir au web du début des années 90 (époque du web sans média et en image 16 couleurs)

  17. #17
    Membre du Club
    Homme Profil pro
    baz
    Inscrit en
    Novembre 2006
    Messages
    43
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : baz
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Novembre 2006
    Messages : 43
    Points : 52
    Points
    52
    Par défaut
    Citation Envoyé par Saverok Voir le message
    Tu décris le web 3.0 ou l'ensemble du réseau est en P2P.
    Le web parfait serait ainsi...
    Non non. Juste Internet 1.0 comme il a été conçu à la base.
    C'est juste l'utilisation qui en est faite qui est mauvaise. La technique en dessous permet sans problème de faire de l'acentré.

    La réalité est bien différente et tu le dis aussi : le réseau est asymétrique d'où l’existence des serveurs de cache (Akamaï est le plus connu).
    CDN, pas cache. C'est pas du tout la même chose
    Et ça ne pose aucun soucis avec SSL/TLS… sous réserve que les mecs arrivent à être techniquement compétents un jour et ne présentent pas whatmille certificats fonction du serveur CDN que tu atteinds…
    L'idée même d'avoir besoin de CDN illustre bien le problème de centralisation du web. On a besoin de CDN pour « rapprocher » les serveurs des clients et ainsi baisser la consommation de bande passante sur le gros goulot d'étranglement que sont les câbles transocéaniques (et en particulier le transatlantique). Avec un réseau acentré, où tu viens chercher mon contenu sur mon PC chez moi au lieu de sur le serveur de Google en Amérique, la consommation de bande-passante serait beaucoup mieux répartie…

    L'idée est de reproduire les données génériques sur des serveurs répartis sur le réseau pour fournir ces données par le plus court chemin et surtout avec le max de chemin alternatif et éviter les requêtes systématiques aux serveurs.
    Autrement dit, tous les X temps, le serveur de ton site fourni 1 fois l'image du logo qui est reproduite sur les serveurs de cache qui ensuite se chargent de fournir cette image aux internautes laissant ton serveur traiter tranquillement les "vrais" requêtes nécessitant un traitement spécifique par ton site...
    Autrement dit, sans cache, l'intégralité des requêtes HTTP (y compris les images, les css, etc.) parviennent jusqu'à ton serveur et bien qu'ils s'agissent de micro requêtes, ton serveurs est submergés et tombe... on appelle ça comment ? un déni de service !
    Non, c'est totalement faux.

    Google a aujourd'hui besoin de CDN*parce qu'il voit passer des milliards de demandes sur des milliards de choses.
    Absolument pas parce qu'une même image est consultée des milliers de fois (n'importe quel serveur bas de gamme encaisse des milliers de demandes à la seconde sans broncher).

    Si le web était acentré, tu viendrais chercher mon contenu sur mon serveur, je te répondrais sans problème vu qu'il y aura grand max 2 ou 3 visiteurs en simultané, sur les liens non saturés pour la réponse.
    Et même sur un site à fort traffic, ça tiendrait sans problème. Le plus gros problème sera à mon avis la saturation de ton lien ADSL (ou même d'une fibre optique) bien avant la saturation de ton serveur

    Il s'agit de caches génériques qui fournissent le contenu générique en fonction de la requête HTTP et non de l'IP appelant.
    CDN alors, pas cache. C'est pas du tout le même objectif (éviter la conso CPU à reconstruire la page dans un cas et donc au plus près du serveur, rapprocher serveur et client dans l'autre, donc au plus près du client)

    Cela s'est mis en place pour pallier aux failles du réseau.
    Cela l'a tellement pallié qu'il n'est plus possible de faire sans maintenant...
    Sauf bien sûr, si tu souhaites revenir au web du début des années 90 (époque du web sans média et en image 16 couleurs)
    Pas aux failles du réseau, mais à ce que les grands du web en ont fait.
    Et faire propre et acentré, ce n'est absolument pas incompatible avec le web tel qu'on le voit aujourd'hui. Juste que tu viendras voir MES vidéos sur MON serveur au lieu d'aller sur Youtube, et MON blog sur MA machine au lieu de wordpress.com ou blogspot.com. Le contenu resterait strictement le même, pas la localisation des données.
    Et on réserverait l'utilisation des CDN pour le contenu massivement consulté (donc populaire, donc peu nombreux au final) au lieu d'en avoir besoin pour absorber la consultation massive de contenu anecdotique mais centralisé derrière un seul lien Internet (donc qui s'écroulerait sans CDN).

  18. #18
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 167
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 167
    Points : 4 647
    Points
    4 647
    Par défaut
    Citation Envoyé par Aéris22 Voir le message
    Je regrette effectivement que ce message d'alerte est aussi anxiogène.
    Ça devrait même être l'inverse qui devrait se produire, avec un message bien anxiogène quand on visite du HTTPS certifié par une autorité de certification non maîtrisable (« Attention, le site que vous visitez est approuvé par 1 seule des 437 autorités de certification embarquées dans ce navigateur, parmis lequelles le gouvernement Chinois, Microsoft, le gouvernement Turc, les services secrets Français, Google, et au moins une dizaine d'autorités ayant déjà été compromises par le passé et autant d'entités états-uniens contrôlées par la NSA. Êtes-vous sûr de vouloir continuer et de faire confiance à ce site qui n'est peut-être pas celui qu'il prétend être ? »), et un message simple de validation d'un certificat autosigné (« Ce site indique être signé par XXXX avec le n° de série YYYY. Avant de continuer, vous pouvez confirmer auprès de XXXX par tout moyen que vous jugerez fiable (téléphone, messagerie instantanée avec OTR, courriel signé avec GPG…) que ce site lui appartient bien. Voulez-vous continuer ? »).
    Dès que l'on peut passer sur du sécurisé à moindre coût (je paie déjà bien assez cher pour quelque chose qui ne me rapport rien) sans faire peur aux visiteurs, je passe tout de suis dessus. En l'état, c'est regrettable mais ce n'est pas possible et je n'ai pas les moyens de faire autrement.

  19. #19
    Membre du Club
    Homme Profil pro
    baz
    Inscrit en
    Novembre 2006
    Messages
    43
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : baz
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Novembre 2006
    Messages : 43
    Points : 52
    Points
    52
    Par défaut
    Citation Envoyé par Zefling Voir le message
    Dès que l'on peut passer sur du sécurisé à moindre coût
    Auto-signé et/ou CACert, ça ne coûte rien (sinon payer un glou à tes assureurs CACert ), et plus sécurisé qu'un certificat commercial à 200€
    Pour le « ne pas faire peur », expliquer à tes visiteurs la situation, c'est ce qu'il y aura de plus formateur et utile pour l'intégralité du réseau

  20. #20
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 167
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 167
    Points : 4 647
    Points
    4 647
    Par défaut
    Citation Envoyé par Aéris22 Voir le message
    Auto-signé et/ou CACert, ça ne coûte rien (sinon payer un glou à tes assureurs CACert ), et plus sécurisé qu'un certificat commercial à 200€
    Pour le « ne pas faire peur », expliquer à tes visiteurs la situation, c'est ce qu'il y aura de plus formateur et utile pour l'intégralité du réseau
    Le problème n'est pas les réguliers, mais ceux qui viennent pour la première fois. Et je ne vois pas comment faire afficher le message avant l'avertissement du certificat, vu qu'ils ne sont encore jamais venus et que c'est uniquement à la première visite qu'il apparaît (enfin si on accepte de conserver l'« exception de sécurité »).

Discussions similaires

  1. Doit-on développer une application WEB en PHP ou en JAVA ?
    Par llaffont dans le forum Général Conception Web
    Réponses: 0
    Dernier message: 17/02/2011, 18h13
  2. Réponses: 0
    Dernier message: 22/02/2010, 12h00
  3. Parcourir le web en entier c'est possible ?
    Par AsmCode dans le forum Général Conception Web
    Réponses: 9
    Dernier message: 26/10/2009, 15h22
  4. Réponses: 3
    Dernier message: 12/06/2007, 14h47
  5. enregistrer une page web entiere
    Par aaron4444 dans le forum Dépannage et Assistance
    Réponses: 2
    Dernier message: 13/06/2006, 16h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo