IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Tous les navigateurs devraient-ils implémenter le protocole HSTS ?

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 992
    Points
    75 992
    Par défaut Tous les navigateurs devraient-ils implémenter le protocole HSTS ?
    Tous les navigateurs devraient-ils implémenter le protocole HSTS ? Le mécanisme sécuritaire est en voie de standardisation

    Le protocole HSTS (HTTP Strict Transport Security), qui permet de renforcer le sécurité en ligne, n'est pas encore utilisé en masse.

    Pourtant, ce mécanisme permettrait de renforcer la sécurité des sites visités, et des comptes qui y sont associés. Notamment, dans le cas de réseaux Wi-Fi non fiables ou de connexions manquant de cryptage.

    Actuellement, le protocole est en cours de standardisation par le IETF (Internet Engineering Task Force) et deux navigateurs très populaires le prennent déjà en charge :

    Il s'agit de Chrome, et de FireFox (actuellement dans les plug-in NoScript et Force-TLS, avant d'être implémenté dans la prochaine version du logiciel lui-même).

    Lorsqu'un site Web qui l'a implémenté sera visité, il fera en sorte que le navigateur se connecte toujours par défaut et automatiquement à la version sécurisée de la page via une URL en "https".

    De plus, certains sites contenant des infos sensibles utilisent le protocole, comme PayPal. Et encore plus suivront certainement, surtout lorsque Microsoft aura implémenté le HSTS. Mais ce mouvement n'est pour l'instant pas prévu dans Internet Explorer 9.

    Pensez-vous que tous les navigateurs devraient implémenter ce protocole ?

  2. #2
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 881
    Points
    1 881
    Par défaut
    Et donc c'est quoi la différence avec une redirection auto sur la page https comme beaucoup de sites utilisent déjà ?
    If it's free, you are not the customer, you are the product.

  3. #3
    Membre habitué
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 41
    Points : 134
    Points
    134
    Par défaut
    Y'en a pas.

    Rediriger automatiquement (via le browser) tout le http vers https, pourquoi pas.
    Pour les attaques MITM.

    Mais encore une fois, on met la sécurité côté client.

    Seulement c'est à double tranchant, les développeurs d'appli web vont être encore plus confiants, et laisser d'énormes failles dans leurs sites.

    C'est les développeurs qu'il faut sensibiliser.

  4. #4
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2010
    Messages : 1 229
    Points : 3 542
    Points
    3 542
    Par défaut
    Cela rendrait-il le réseau réellement plus lent si TOUS les sites étaient en HTTPS ?
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  5. #5
    Membre confirmé
    Profil pro
    Inscrit en
    octobre 2004
    Messages
    329
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : octobre 2004
    Messages : 329
    Points : 602
    Points
    602
    Par défaut
    Le réseau serait toujours aussi "rapide", il ne transporte que des octets sans discrimination (pour l'instant) ;-)

    Le problème c'est plutôt les ressources serveurs pour initier une session https et ensuite encrypter le trafic.

  6. #6
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2010
    Messages : 1 229
    Points : 3 542
    Points
    3 542
    Par défaut
    Oui ce que j'entendais par rapide était le temps de réponse entre le moment où je clique sur un lien et où la page s'affiche, rajouter les actions encrypter et décrypter à la fin ralentisse forcément, et peut être que les données cryptées tiennent du coup sur plus d'octets... Bref, cette variation de temps est-elle visible ? (Delta t est-il négligeable :p ?)
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  7. #7
    Invité
    Invité(e)
    Par défaut
    Non, si un site est bien codé avec des règles de mise en cache (du navigateur) bien faites, le surcout devrait être négligeable (pas vraiment visible lors du chargement de la page) a priori il y a de la marge au niveau d'un serveur qui devrait pouvoir crypter (il zip déjà les données et ça ne se voit pas) sans se mettre à ramer.
    Après si un site envoie trop de donner, est mal codé le temps d'exécution va augmenter avec un cryptage ce qui ne va rien arranger.
    Pour la taille des données, vu la taille des images de nos jours on n'en est plus à quelques centaines d'octet près, le cache (navigateur) joue un rôle important avec ou sans https dans ce cas.

  8. #8
    Membre régulier
    Inscrit en
    juin 2007
    Messages
    106
    Détails du profil
    Informations forums :
    Inscription : juin 2007
    Messages : 106
    Points : 87
    Points
    87
    Par défaut
    Je suis de l'avis d'Ev3r10st. C'est au serveur de gérer cette fonction !

Discussions similaires

  1. Réponses: 4
    Dernier message: 08/03/2012, 08h50
  2. Mon site fonctionne sur tous les navigateurs sauf IE6 :-(
    Par acrylica dans le forum Général JavaScript
    Réponses: 1
    Dernier message: 23/11/2007, 11h39
  3. la balise HR diffère dans tous les navigateurs.
    Par Ekimasu dans le forum Mise en page CSS
    Réponses: 2
    Dernier message: 12/11/2007, 11h38
  4. onKeypress avec tous les navigateurs
    Par afrodje dans le forum Général JavaScript
    Réponses: 5
    Dernier message: 11/10/2007, 11h38
  5. Fonctionne sur tous les navigateurs sauf IE
    Par Elephantman dans le forum Général JavaScript
    Réponses: 10
    Dernier message: 30/01/2007, 14h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo