+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 589
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 589
    Points : 86 270
    Points
    86 270

    Par défaut Firefox se prépare à son tour à marquer les sites en HTTP comme étant non sécurisés

    Firefox se prépare à son tour à marquer les sites en HTTP comme étant non sécurisés,
    une représentation visuelle est déjà disponible sur la version Nightly

    Pour pousser l’adoption du HTTPS, les grandes enseignes ont multiplié les stratagèmes. Nous pouvons noter parmi elles le fait qu’en août 2014, l’algorithme de recherche de Google a commencé à utiliser HTTPS comme un critère de classement pour donner un peu plus de poids aux sites utilisant le protocole sécurisé dans ses résultats de recherche. Puis en décembre 2015, Google a décidé d’indexer les pages HTTPS par défaut.

    Plus tard, en août 2017, Google a fait pression sur les développeurs en leur indiquant par courriel que les connexions de leurs sites HTTP qui collectent des mots de passe ou des cartes de crédit seront marquées comme non sécurisés sous la version 62 du navigateur Chrome.

    Une stratégie qui a sans doute porté ses fruits puisque Google a assuré en août 2017 que 66 % du volume des pages Web chargées sur la version desktop de Chrome utilisent HTTPS, contre 80 % sur la version de Chrome sur Chrome OS.

    Cette fois-ci, c’est au tour de Mozilla de prendre la même mesure. Dans la version 59 de son Firefox Nightly, l’éditeur a déjà déployé une option de configuration qui, une fois activée, permet d’avoir des indicateurs visuels qu’une page HTTP est marquée comme étant non sécurisée.

    Dans sa forme actuelle, cet indicateur visuel est une ligne rouge qui traverse un verrou classique normalement utilisé pour signaler la présence de pages HTTPS.


    « Le déploiement de HTTPS commence à prendre de l'ampleur », a noté Richard Barnes, un ancien ingénieur logiciel Mozilla, qui est désormais chez Cisco. « Nous devrions commencer à nous préparer à un changement qui vise à marquer comme non sécurisés les sites qui ne sont pas sécurisés (plutôt que de marquer comme étant sécurisés des sites qui sont sécurisés) ».

    « Dans un premier temps, ajoutons un indicateur négatif pour tous les sites non sécurisés, bloqués par un pref qui est désactivé par défaut », a-t-il écrit dans une demande de fonctionnalité qu'il a faite l'année dernière.

    Mozilla a approuvé sa requête, et Firefox Nightly 59 inclut désormais une préférence cachée nommée « security.insecure_connection_icon.enabled » qui, lorsqu'elle est activée, affichera l'icône de verrouillage barré sur toutes les pages HTTP.

    Pour activer cette fonctionnalité, les utilisateurs doivent accéder à la section about: config settings, rechercher la préférence évoquée plus haut et double-cliquer pour l'activer.


    Selon les données de Let’s Encrypt, 67 % des pages chargées sur Firefox en novembre 2017 se sont servi du protocole HTTPS, contre 45 % seulement en fin d’année dernière.

    À l'heure actuelle, la plupart des experts en sécurité et des concepteurs d'interfaces estiment qu'il est préjudiciable qu'un site affiche un avertissement permanent lorsque les utilisateurs naviguent sur des pages HTTP, car cela pourrait entraîner une « fatigue des erreurs » qui rendrait les utilisateurs aveugles et ignorants.

    Mais, comme l'a souligné Barnes, si l'adoption du protocole HTTPS augmente encore plus, un avertissement « non sécurisé » sur les sites non HTTPS pourrait devenir acceptable, car ces erreurs se manifesteront plus rarement qu'elles ne l'auraient été il y a quelques années.

    Il est possible qu’avec ce changement dans l’utilisation des protocoles, la plupart des navigateurs décident d’adopter cette approche qui consiste à marquer comme non sécurisé les sites Web en HTTP.

    Source : statistiques Let's Encrypt, BugZilla, BC

    Et vous ?

    Qu'en pensez-vous ?
    Partagez-vous l'avis de Richard Barnes qui propose de marquer les sites « non sécurisés » ou êtes-vous d'accord avec les experts qui préfèrent voir marqués les sites sécurisés ? Pourquoi ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti
    Profil pro
    Inscrit en
    avril 2013
    Messages
    269
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2013
    Messages : 269
    Points : 353
    Points
    353

    Par défaut

    Salut

    Quoi que les sites sécurisés sont indiqués comme tel... les pages ayant des contenus mixtes sont indiqués... Indiquer un site non-sécurisé, est un peu gadget, je trouve !.. Pousser les responsables des sites (commerciaux entre autres) et forums à avoir une connexion sécurisé, est bien mieux !

    Cela dit, toutes les pages où il y a une possibilité de connexion et qui ne sont pas sécurisées, ont déjà le cadenas barré... C'est arrivé avec Fx 51, me semble t-il.

    Personnellement lors de recherches ou d'affichage de certains sites de ma réserve, je m’aperçois depuis quelque temps que bien des sites sont passés en https... ce qui me fait changer les adresses ou ajouter le "s" à mes marque-pages... Déjà effectué pas mal de changements.

    Ce cadenas barré sur tous les sites non-sécurisés, n'empêchera pas grand monde d'aller sur ceux-ci... Moi le premier.

  3. #3
    Inactif
    Homme Profil pro
    Architecte matériel
    Inscrit en
    décembre 2017
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Architecte matériel

    Informations forums :
    Inscription : décembre 2017
    Messages : 155
    Points : 0
    Points
    0

    Par défaut

    Historiquement les protocoles d'Internet comme le Web, le email... n'avaient aucune forme de protection contre l'écoute de la ligne : aucun chiffrement d'aucune sorte.

    Il faut replacer les choses dans leur contexte pour apprécier ces décisions de ne pas intégrer de cryptographie, ces technologies n'étant pas facilement utilisables à l'époque :

    - limite de la puissance des ordinateurs personnels (sensible surtout pour les chiffrements asymétriques)
    - limite de la PI ("propriété intellectuelle") sur certains systèmes de chiffrement comme RSA
    - limite de la LOI sur les moyens autorisés (différente dans chaque pays donc problématique pour un standard)

    J'espère que la compréhension de ces problèmes évitera que des "petits jeunes" ne critiquent trop durement les choix historiques. On entend trop souvent insinuer qu'il y a quelques années la notion de sécurité informatique n'avait pas été inventée!

    Maintenant plus aucun de ces arguments n'est valable évidemment! Et cela depuis des années.

    La protection des données personnelles lors de l'envoi par l'utilisateur et la réception devrait aller de soi.

Discussions similaires

  1. Réponses: 2
    Dernier message: 25/02/2011, 19h50
  2. Réponses: 11
    Dernier message: 30/01/2010, 14h28
  3. [WS 2003] Bloquer les sites en "https"..
    Par kubuntu_user dans le forum Windows Serveur
    Réponses: 2
    Dernier message: 29/07/2009, 09h06
  4. Son vidéo sur les sites Internet ?
    Par grospierre dans le forum Audio
    Réponses: 9
    Dernier message: 16/09/2007, 17h38
  5. rediriger les sites sur son serveur
    Par largowinch dans le forum Serveurs (Apache, IIS,...)
    Réponses: 2
    Dernier message: 06/12/2005, 18h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo