Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #21
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    578
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 578
    Points : 2 636
    Points
    2 636
    Par défaut
    Citation Envoyé par Farnsworse Voir le message
    Ok, voyons-voir:
    • Je me paie un nom de domaine du style faceboook.com avec le certificat qui va bien et signé par ce CA vu qu'aucun contrôle ne sera effectué.
    • J’héberge un site passerelle qui, vous l'aurez deviné, est un vulgaire piège de phishing.
    • Je balance quelques emails avec un message provoquant la panique chez ma cible et un lien maquillé vers mon piège.
    • L'utilisateur en confiance, vu que HTTP est encapsulé dans TLS sur ce site, se connecte et... Oh bon sang, j'ai le mot de passe en clair!
    • Fin du spectacle, baisse du rideau, applaudissements.

    Bref, ça ne sert à rien de chiffrer si on n'est pas certain de l'identité de son interlocuteur.

    Et sinon, SSH et TLS ne sont pas comparables tant sur le fond que la forme j'en ai bien peur.
    SSL/TLS n'a jamais garantie que ton interlocuteur ne fera pas n'importe quoi avec les données que tu lui envoie.

    Pour reprendre ton exemple, facebook a un certificat SSL, ça l'empêche pas de revendre tes données.

    SSL/TLS te garantie qu'aucune autre personne que ton interlocuteur ne pourra lire les données transmises.

  2. #22
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 033
    Points
    1 033
    Billets dans le blog
    9
    Par défaut
    SSL/TLS te garantie qu'aucune autre personne que ton interlocuteur ne pourra lire les données transmises.
    On est bien d accord que c'est bénéfique pour renforcer la sécurité de l'internet mondial.

  3. #23
    Membre confirmé Avatar de rt15
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2005
    Messages
    245
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2005
    Messages : 245
    Points : 614
    Points
    614
    Par défaut
    Idem que certains, je suis très sceptique...

    N'importe qui peut faire un certificat aujourd'hui, c'est facile et gratuit.
    Mais "personne" ne peut créer un certificat signé par une authorité de certification.
    Il faut demander à cette authorité de faire le certificat et payer pour ça.

    Un certificat est considéré comme de confiance par un navigateur seulement si il a été signé par une authorité de certification considérée comme "de confiance" par le navigateur.
    Le boulot de cette authorité est de ne pas délivrer n'importe quoi à n'importe qui et de précieusement conserver ses clés de signature privées.

    Par exemple quand l'authorité de certification comodo a été hackée, il y a eu génération de certificats signés par comodo non délivrés par comodo.
    Et du coup les navigateur considéraient ces certificats comme "de confiance" alors que c'étaient des certificats générés par des pirates.

    Si des certificats délivrés gratuitement (Donc a priori sans contrôles ou presque) sont émis par une authorité considérés comme "de confiance" par la majorité des navigateurs, le web sera MOINS sécurisé qu'aujourd'hui.

    Délivrer des certificats gratuitement d'accord.
    Mais il ne faut pas que ces certificats soient considérés par les navigateurs comme émis par une personne de confiance.

    Sinon le phishing va vachement mieux marcher dans pas longtemps.

  4. #24
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    8 212
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 8 212
    Points : 20 677
    Points
    20 677
    Par défaut
    Bonjour,

    Il ne faut pas oublier que pour le TLS/SSL, il faut que le client récupère la clé publique.
    TLS/SSL va nous assurer que les paquets reçus ont bien pour origine le site visité à condition d'avoir récupéré la bonne clé publique.

    La question qui se pose alors c'est "où héberger ma clé publique" ?
    Il me paraît évident qu'on ne peut pas héberger notre clé publique sur notre propre site, sinon, comment s'assurer que la clé reçue par le client est bien la nôtre ?

    C'est un des rôles majeur des organismes de certifications d'héberger nos clés publiques.
    Or, tout le monde ne peut ou ne veut pas nécessairement payer plus de 50€/ans.

    Des certificats, on peut en générer gratuitement sans aucun problème, le principal obstacle, c'est de le faire reconnaître par un organisme de certification afin d'éviter d'affoler nos visiteurs avec les messages "certificats auto-signés" mais aussi afin d'éviter le problème de sécurité que j'ai évoqué plus haut.


    Après si les informations du certificats ne sont pas toutes vérifiées, ce n'est au final pas si grave à partir du moment où on fera une petite distinctions (ex. cadenas bleu pour les "gratuits", cadenas vert pour les "vérifiés").
    Il faut comprendre que pour un bête forum, on a pas forcément besoin de faire vérifier la localisation du siège social par exemple.

    Pour le pishing, rien n'empêche un utilisateur d'avoir un site faceboook.com et de le faire "vérifier".
    Le plus difficile étant ensuite de "disparaître" ou de frauder la "vérification". Mais le pishing est toujours possible.
    Mais pourquoi s'enquiquiner à mettre du https ? Si l'utilisateur ne vérifie pas l'url, va-t-il vérifier si la page est bien en https ?

    L'argument du pishing ne me paraît donc pas pertinent.

    Après, je n'ai pas regardé en détails, mais il serait peut-être possible de vérifier si un domaine avec certificat "gratuit" ne ressemble pas un peu à un domaine avec certificat "payant" avant de valider le certificat "gratuit".
    "Parce que le diable est dans les détails, une vision sans nuance ne peut prétendre à la compréhension du monde."

    Mon ancienne page perso : https://neckara.developpez.com/

  5. #25
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par Farnsworse Voir le message
    Et sinon, SSH et TLS ne sont pas comparables tant sur le fond que la forme j'en ai bien peur.
    Bien sûr que si, ils fournissent exactement les mêmes garanties de sécurité, modulo les mêmes hypothèses.

  6. #26
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par rt15 Voir le message
    Sinon le phishing va vachement mieux marcher dans pas longtemps.
    Je ne vois pas le rapport.

  7. #27
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    8 212
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 8 212
    Points : 20 677
    Points
    20 677
    Par défaut
    Citation Envoyé par abel.cain Voir le message
    Non, pas du tout.

    Qui t'a raconté ça?
    Pourrais-tu argumenter ?

    Bon j'aurais peut-être dû mettre "héberger" entre quotes ou le remplacer par "garantir la validité de notre clé".
    C'est vrai que j'aurais dû être plus clair.

    http://www.securite-informatique.gou...article19.html
    Pour cela, l’autorité de certification signe avec sa propre clé privée un message contenant entre autres, l’identité du propriétaire de la clé, la clé publique, l’usage possible de la clé, selon une politique de certification définie. Ce message particulier est appelé certificat de clé publique et est normalisé par le format X.509v3.
    "Parce que le diable est dans les détails, une vision sans nuance ne peut prétendre à la compréhension du monde."

    Mon ancienne page perso : https://neckara.developpez.com/

  8. #28
    Membre confirmé Avatar de rt15
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2005
    Messages
    245
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2005
    Messages : 245
    Points : 614
    Points
    614
    Par défaut
    Citation Envoyé par abel.cain Voir le message
    Je ne vois pas le rapport.
    Les pirates pourront envoyer des mails avec des liens vers des sites avec un cadenas sans warning du navigateur sur l'identité du site. Le cadenas est considéré par beaucoup comme un gage de sûreté (Certaines banques entre autres ont communiqué sur le cadenas) et l'utilisateur risque donc de encore moins contrôler l'URL.

  9. #29
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par Saverok Voir le message
    Tu ne fais jamais de faute de frappe ?
    Tu ne lis jamais de travers ?
    Tu contrôles tout et tout le temps ?
    Tu n'as jamais la tête dans le cul ?
    Moi oui, mes logiciels plus rarement!

    Si j'utilise un signet (bookmark) ou l'historique pour aller directement sur https://mabanque ou https://monfai je sais que je suis sur le bon site, parce qu'il n'y pas la place pour une faute de frappe.

    Et ensuite j'enregistre mes mots de passe, donc le navigateur les remplit pour moi. Donc je ne peux pas être victime d'un autre site.

    Si je reçois un courriel non demandé, et que je clique sur un lien sans vérifier, et que je fais confiance au site sans vérifier, là par contre...

    Sur Firefox et Google Chrome tu peux voir dans les infos du site si tu as régulièrement visité le site, c'est une bonne indication en cas de doute. Bref il n'est pas très difficile d'éviter ce genre d'arnaque.

  10. #30
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 033
    Points
    1 033
    Billets dans le blog
    9
    Par défaut
    liens vers des sites avec un cadenas sans warning du navigateur
    En gros tu préfère laissée les sites sans sécurité juste parce que quelque personnes risquent de l'utilisée a des fins frauduleuse ?
    Si j'applique ton raisonnement on aurait pas fait grand chose en informatique.

    D'autant plus que le problème que tu soulève ne vient pas du https mais juste de l'interface graphique de certain navigateur.

  11. #31
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par sazearte Voir le message
    En gros tu préfère laissée les sites sans sécurité juste parce que quelque personnes risquent de l'utilisée a des fins frauduleuse ?
    Si j'applique ton raisonnement on aurait pas fait grand chose en informatique.

    D'autant plus que le problème que tu soulève ne vient pas du https mais juste de l'interface graphique de certain navigateur.
    Je ne vois pas à quel problème d'interface tu fais allusion.

  12. #32
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 033
    Points
    1 033
    Billets dans le blog
    9
    Par défaut
    Je ne vois pas à quel problème d'interface tu fais allusion.
    Le cadenas vert c'est purement visuel.

  13. #33
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par rt15 Voir le message
    Les pirates pourront envoyer des mails avec des liens vers des sites avec un cadenas sans warning du navigateur sur l'identité du site.
    Exact.

    Citation Envoyé par rt15 Voir le message
    Le cadenas est considéré par beaucoup comme un gage de sûreté
    Alors il faut leur expliquer à quoi sert à un cadenas, ce qu'est une session sécurisée, etc. Ce n'est pas bien compliqué.

    Il suffit de ré-informer les gens. Les gens ne sont pas stupides (pour la plupart), juste mal informés.

    Citation Envoyé par rt15 Voir le message
    (Certaines banques entre autres ont communiqué sur le cadenas)
    Certaines banques (la plupart?) disent et font n'importe quoi.

    En plus elle déconseillent (ou interdisent explicitement) le plus efficace moyen d'éviter dans tous les cas le phishing : enregistrer le mdp dans le navigateur.

    Citation Envoyé par rt15 Voir le message
    et l'utilisateur risque donc de encore moins contrôler l'URL.
    Parce que tu crois qu'un utilisateur incompétent (au point de gober les inepties sur le cadenas-qui-garantit-qu'il-n'y-a-pas-de-risque) a une chance de faire la différence entre le bon domaine et un nom de domaine vaguement similaire?

    ma-banque.fr
    mabanque-secure-login.fr
    mabanque.ru
    mabanque-secure-login.ru
    mabanque.secure-banking.ru
    mabanque.secure.banking-service.ru

    etc.

    Beaucoup de messages de phishing sont consternants de bêtise.

    Votre bank SFR veu vous remboursé de l'argen mai elle a besoin de votre numero de compte banquère.

    Si les gens se font prendre malgré les indices flagrants, ce n'est pas la distinction HTTP/S qui va faire une différence!

  14. #34
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Le cadenas vert c'est purement visuel.
    Tu voudrais quoi à la place?

  15. #35
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 033
    Points
    1 033
    Billets dans le blog
    9
    Par défaut
    Tu voudrais quoi à la place?
    Le vert + un cadenas donne trop confiance, peut être un peu surligner le faite que le site soit en https ?

    De toute façon le cadenas l'utilisateur incompétent s'en fou complètement, il ne sait pas ce que c'est donc avec ou sans cadenas sa change rien.

    La différence entre :
    https://www.mabanque.com et http://www.mbanque.com (la faute et fait exprès) que se soit vers ou pas sa change rien.

    Donc je préfère que 1000 personnes se fassent avoir (de leur faute) plutôt que 100000 personnes se fassent pirater parce que la connexion avec le site n'est pas cryptée (ce qui ne sera pas de leur faute, mais du site web parce qu'il n'a pas envie de payer 80$/ans)

  16. #36
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par Algo D.DN Voir le message
    Je reste un peu perplexe, pas sur la forme mais sur le fond, si le https se généralise à terme, on va certainement se diriger vers une couche supplémentaire https + pe, qui permettra de faire la distinction entre espace standard et sécurisé, apte à répondre aux besoins de transactions de type authentifications...

    Comme le dit Farnsworse pour certains domaines il y a des exigences (de sécurité) à satisfaire, si le https ne permet plus de faire la distinction (dans le sens satisfaire des exigences, ISO/CEI 27001I, par exemple), on va invariablement se diriger vers un procédé qui va permettre de faire la distinction entre deux niveaux d'exigences, l'une sûre et l'autre sûre mais + émanant d'une (certaine) autorité qui garantira que l'entité à une PSSI stricte qui répond à des exigences ISO/CEI...

    ... Bon j'ai un peu l'impression de tourner en rond là...
    Je ne comprends pas ce qui change ni le rapport entre "satisfaire des exigences" et SSL/TLS. Quand est-ce que HTTPS a eu un "niveau d'exigence" (autre que concernant la crypto lors de la connexion) et "une PSSI stricte"?

    Tu as l'air de penser que la généralisation de HTTPS est un souci. La généralisation de la crypto solide entre clients et serveurs me semble une très bonne chose.

    HTTPS est un protocole reposant sur la cryptographie qui a pour but de protéger des communications, des données échangées entre deux logiciels. C'est un simple outil.

    On ne peut pas demander à un protocole plus que ce pour quoi il est conçu.

  17. #37
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par Neckara Voir le message
    Pourrais-tu argumenter ?

    Bon j'aurais peut-être dû mettre "héberger" entre quotes ou le remplacer par "garantir la validité de notre clé".
    C'est vrai que j'aurais dû être plus clair.

    http://www.securite-informatique.gou...article19.html
    Ok, je comprends ce que tu voulais dire.

    En effet un certificat, pour être reconnu par les navigateurs, doit être authentifié par une "Autorité".

  18. #38
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par Neckara Voir le message
    Or, tout le monde ne peut ou ne veut pas nécessairement payer plus de 50€/ans.
    Où tu as vu qu'un certificat coûtait minimum 50 €?

    C'était peut être le cas il y a 5 ou 10 ans, mais aujourd'hui les autorités de certification font des certificats basiques "low cost" (pas de garantie financière, pas de joker).


    Citation Envoyé par Neckara Voir le message
    Après, je n'ai pas regardé en détails, mais il serait peut-être possible de vérifier si un domaine avec certificat "gratuit" ne ressemble pas un peu à un domaine avec certificat "payant" avant de valider le certificat "gratuit".
    Il n'y a pas de différence technique entre un certificat gratuit et un payant, il y a des différences entre certificat "de base" et "EV".

  19. #39
    Membre éprouvé Avatar de Algo D.DN
    Homme Profil pro
    WPM - Web Dev.
    Inscrit en
    août 2012
    Messages
    375
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : WPM - Web Dev.
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2012
    Messages : 375
    Points : 1 157
    Points
    1 157
    Par défaut
    Citation Envoyé par abel.cain Voir le message
    Je ne comprends pas ce qui change ni le rapport entre "satisfaire des exigences" et SSL/TLS. Quand est-ce que HTTPS a eu un "niveau d'exigence" (autre que concernant la crypto lors de la connexion) et "une PSSI stricte"?

    Tu as l'air de penser que la généralisation de HTTPS est un souci. La généralisation de la crypto solide entre clients et serveurs me semble une très bonne chose.

    HTTPS est un protocole reposant sur la cryptographie qui a pour but de protéger des communications, des données échangées entre deux logiciels. C'est un simple outil.

    On ne peut pas demander à un protocole plus que ce pour quoi il est conçu.
    J'ai dû mal m'expliquer, un web tout en httpS why not! bien au contraire, si on pouvait utiliser des brides SSL pour tout le web ça ne contrarierait que les gros netspy et autres bourrepif ;]

    Mais quand on s'adresse à un site sensible, institutions, banques,
    espace de transactions, ce sont des domaines qui doivent répondre à des exigences fortes, plus conformes au domaine d'activité, au contexte.

    On sait très bien qu'un site même un httpS ne garantit pas une politique de sécurité stricte sur l'ensemble complet du site, et encore moins si cette politique est maintenue, alors, on oppose à ces entités un httpS avec signature, vérifié et signé par une autorité de certification.

  20. #40
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par Algo D.DN Voir le message
    On sait très bien qu'un site même un httpS ne garantit pas une politique de sécurité stricte sur l'ensemble complet du site, et encore moins si cette politique est maintenue, alors, on oppose à ces entités un httpS avec signature, vérifié et signé par une autorité de certification.
    Après un audit de sécurité du site?

    Comme le navigateur afficherait cette information essentielle? Avec une interface inspirée des certificats "EV"?

Discussions similaires

  1. Réponses: 1
    Dernier message: 04/11/2011, 18h11
  2. Forcer mon navigateur mozilla à ouvrir une nouvelle fenêtre
    Par 63renaud dans le forum Balisage (X)HTML et validation W3C
    Réponses: 1
    Dernier message: 08/05/2010, 14h18
  3. Réponses: 4
    Dernier message: 24/09/2009, 20h39
  4. Réponses: 2
    Dernier message: 14/04/2006, 09h48

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo