IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Google Chrome Discussion :

Les développeurs de Chrome élaborent un plan pour marquer les trafics non sécurisés


Sujet :

Google Chrome

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    juillet 2013
    Messages
    2 441
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 441
    Points : 76 853
    Points
    76 853
    Billets dans le blog
    2
    Par défaut Les développeurs de Chrome élaborent un plan pour marquer les trafics non sécurisés
    Les développeurs de Chrome élaborent un plan pour marquer les trafics non sécurisés, pour une augmentation du déploiement des sites HTTPS.

    Vous avez probablement déjà été une fois informés par votre navigateur du niveau de sécurité d'un site web que vous visitez, du moins, le navigateur vous le dit quand le contenu du site est sécurisé. Mais qu'en est-il lorsque vous naviguez sur un site non sécurisé? Rien.

    L'équipe des développeurs de Chrome a longuement réfléchi sur la question et a décidé de porter son projet à la connaissance de la communauté web. Leur objectif est que les navigateurs nous informent aussi quand nous sommes dans un domaine non sécurisé et quel est le niveau de risque encouru.

    « Nous, l'équipe de sécurité Chrome, proposons que les agents utilisateurs (UA) changent progressivement leur expérience utilisateur (UX) pour afficher les sources non sécurisées comme étant effectivement non sécurisées. Nous avons l'intention d'élaborer et de commencer à déployer un plan de transition pour Chrome en 2015 ».

    Ils partent du constat que le protocole HTTP ne garantit aucune sécurité de données alors que le désir de tout internaute est d'avoir des communications sécurisées sur internet.

    « Nous savons que les gens ne perçoivent généralement pas l'absence d'un signe d'avertissement. Pourtant, la seule situation dans laquelle les navigateurs Web sont garantis de ne pas avertir les utilisateurs est précisément quand il y a aucune sécurité: lorsque la source est transportée via HTTP. » Vont-ils ajouter:
    « Nous voulons tous que la communication de données sur le web soit sécurisée (privée, authentifiée, non altérée). Lorsqu'il n'y a pas de sécurité des données, l'UA devrait l'afficher explicitement, afin que les utilisateurs puissent prendre des décisions éclairées sur la façon d'interagir avec une source. »

    C'est une chose d'informer les utilisateurs du niveau de sécurité sur un site, mais c'en est une autre, de trouver un critère objectif pour définir les différents niveaux de sécurité.

    L’équipe suggère que les navigateurs définissent et informent les utilisateurs de trois niveaux de sécurité:

    -Sécurisé (HTTPS valides, d'autres sources de type localhost par exemple);
    -Suspect (HTTPS valables, mais avec des ressources passives mixtes, HTTPS valides avec des erreurs mineures TLS);
    -Non sécurisé (HTTPS cassé, HTTP).

    Les développeurs de Chrome pensent que cette opération va conduire progressivement à une augmentation de sites sécurisés pendant que les sites non sécurisés tendront à disparaître. Par ailleurs, ils ont diffusé leur projet sur plusieurs listes influentes pour recueillir des commentaires de la communauté du web, des développeurs et des utilisateurs. Ils ont, par la même occasion, lancé un appel aux fournisseurs d’UA à intégrer la notification des trafics non sécurisés.

    Source : chromium.org

    Et vous ?

    Que pensez-vous du plan pour marquer les sites non sécurisés ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2008
    Messages
    2 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : avril 2008
    Messages : 2 208
    Points : 8 304
    Points
    8 304
    Billets dans le blog
    51
    Par défaut
    Il faut bien se rendre compte que la sécurité à un coût. Certes technique, mais aussi morale.
    Il faut se rendre compte qu'aujourd'hui le contenu est de plus en plus ciblé. Et l'accès à l'information de manière égal est de plus en plus remis en question.

    Dans le pire cas :
    Citation Envoyé par Tout est sécurisé et privée
    Si un site d'actualité produit deux articles d'un même sujet et choisit l'article donnée en fonction de la personne. Personne ne peux vérifier qu'il n'y a pas d'abus de "pouvoir" de ce site.
    Certes la vie privée est important et la sécurisation des données personnelles est vitale. Mais rendre l'ensemble des communications privées est se tirée une balle dans le pieds sur le longue termes.
    Que certes communications soient publique est vitale. Si consulté un journal (en ligne ou pas) est un problème de société et non un problème technique/sécuritaire.
    On n'est plus dans le domaine de la vie privée ou de la sécurisation d'information bancaire...

    Sans parler de la problématique des certificats et de l’encryptions des données qui est dans la main de certains compagnie.

    Si on sécurise tout c'est qu'on a peur. Et c'est quand les gens ont peur qu'on leur prends leur liberté.

    Cordialement,
    Patrick Kolodziejczyk.
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

  3. #3
    Membre expérimenté
    Profil pro
    Inscrit en
    octobre 2005
    Messages
    924
    Détails du profil
    Informations personnelles :
    Âge : 41
    Localisation : France

    Informations forums :
    Inscription : octobre 2005
    Messages : 924
    Points : 1 716
    Points
    1 716
    Par défaut
    C'est une très bonne idée. On ne s'aperçoit de ce qui manque que si on le cherche. Par conséquent, à moins de tout vérifier systématiquement, on peut transmettre des informations confidentielles sans même s'en rendre compte.

    Cependant, tous les sites n'ont pas besoin d'être sécurisés, notamment les sites ne communiquant aucune information confidentielle. Je doute que les utilisateurs saisissent cette nuance : en voyant "non sécurisé" sur un site, ils vont s'enfuir aussitôt.

  4. #4
    Membre actif Avatar de Agrajag
    Inscrit en
    janvier 2014
    Messages
    110
    Détails du profil
    Informations forums :
    Inscription : janvier 2014
    Messages : 110
    Points : 257
    Points
    257
    Par défaut
    Je suis parfaitement d'accord avec kolodz et BugFactory et je n'ai jamais su comment expliquer cette canalisation de contenu sans passer pour un paranoïaque.

    Autant je suis content de pouvoir consulter ces certificats quand je me rends sur le site de ma banque, autant ça m'agace de plus en plus qu'on me refuse la navigation sur un site en cours de dev, hébergé sur une plate-forme gratuite.

    Si la plupart des gens préfèrent ne pas s'occuper de leur sécurité eux-même en déléguant la tache à un antivirus et des autorités de confiance, je trouve qu'il devraient réfléchir quand à l'authenticité d'un contenu.

    A l'heure où Avast délivre ses propres certificats, écrasant les certificats émis pour nous imposer sa propre autorité de confiance, on peut tout simplement se demander si, tout comme les antivirus, les compagnies qui délivrent les certificats ne cherchent pas à faire un peu de beurre sur le dos des gens qui ne s'intéressent pas plus que ça à leur propre sécurité.

  5. #5
    Futur Membre du Club
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    février 2013
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : février 2013
    Messages : 4
    Points : 8
    Points
    8
    Par défaut Quid du bilan energetique ?
    il fit combien de watt pour consommer une page sous http et sous https ?

    il faut considérer la consommation réseau, poste client et serveur...

  6. #6
    Membre confirmé

    Homme Profil pro
    Développeur Java
    Inscrit en
    février 2007
    Messages
    179
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2007
    Messages : 179
    Points : 647
    Points
    647
    Par défaut
    C'est une superbe question qu'être certain qu'un serveur fournisse le même contenu à tous ces clients.
    En gros il faudrait qu'on puisse déterminé ce qui est ou non de la donnée publique.
    Il faut qu'on puisse déterminé les données blanche et grise voir noir. C'est de la sécurité quoi.
    Google veux faire un système automatisé qui indique quelles sont les données blanches des données grises/noirs ... J'y crois pas du tout.
    Comme dit Michael Guilloux, il faut que les données blanches soient transmises en claire pour avoir le moins de chance possible qu'il y ait une manipulation. Avec ce que j'ai compris (il faudrait creuser) Google veut juste forcé tous les sites en HTTPS à moyen terme.

    Mais la question des autorités de confiance est pertinente aussi. Qui les connait ? Donc comment faire confiance à quelqu'un qu'on se connait pas ? Mais je crois que l'état est aussi un autorité de confiance reconnu par la plus part des navigateur par défaut. Pourquoi pour les entreprises Française on pourrais pas avoir un certificat associé au numéro de SIREN ou SIRET, là y'aurait une meilleur confiance non ?
    L'expérience est une lanterne que l'on porte sur le dos et qui n'eclaire jamais que le chemin parcouru.

    La nature fait les choses sans se presser, et pourtant tout est accompli.

  7. #7
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 420
    Points : 1 449
    Points
    1 449
    Par défaut
    Le problème c'est que d'afficher systématiquement un message "non sécurisé" aura pour conséquence de faire l'amalgame entre "non sécurisé" et "dangereux".

    Est-ce que tout les sites ont besoin d'être sécurisés ? Non évidemment (exemple tout bête d'un simple site vitrine d'une entreprise).
    Dans ce cas, est-ce pertinent de laisser croire au visiteur qu'il y a danger ? Bien sûr que non. Ça serait contre-productif et aurait pour conséquence que finalement le message finirait par être pris à la légère.

    Donc faire le distinguo uniquement sur la question du protocole utilisé n'est pas très intelligent.
    En revanche, qu'un message "communication non sécurisée" soit affiché clairement SI la page est en http ET qu'elle contient un formulaire (à plus forte raison avec champs de type="password"), là oui, on commence à envisager u début de solution.
    Je sais bien que la présence ou non d'un formulaire n'est pas suffisant non plus, mais je parle d'un "début" de solution :p. Je ne prétends pas savoir quoi faire dans tout les cas.

    N'oubliez pas ce qui est arrivé à la chèvre de M. Seguin... crier danger partout où il n'y en pas n'est jamais une bonne idée. Et l'ambiance de surveillance actuelle ne doit pas obscurcir ce fait.

Discussions similaires

  1. Réponses: 2
    Dernier message: 29/10/2012, 15h23
  2. Réponses: 46
    Dernier message: 12/05/2012, 09h56
  3. [Recrutement] Une API pour tous les développeurs de jeux Mobiles HTML5
    Par Gamorlive dans le forum Projets
    Réponses: 2
    Dernier message: 17/04/2012, 08h33
  4. Réponses: 10
    Dernier message: 15/03/2012, 15h36
  5. Réponses: 17
    Dernier message: 23/12/2010, 07h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo