Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Quels protocoles ?Envoyé par Neckara
tu nous embrouilles avec tes termes, alors développe stp ...
tu connais les certificats EV ? Tu connais le rôle des autorités de certifications et des tiers de confiances dans un système de PKI ?
Certains ici ont prétendu que HTTPS ne protégeait pas des attaques MITM, j'ai émis des hypothèses à ce sujet, mais je n'ai vu personne expliquer comment on fait une MITM avec HTTPS ?
Quelqu'un saurait-il l'expliquer ? ou bien c'est juste de la fanfaronnade ?
Émotion
Infantilisation
Culpabilisation
Christophe Alévèque - 18 Mars 2021
Je n'ai pas tous les noms de protocoles en tête, plus leur fonctionnements général (sachant qu'il y a souvent plusieurs protocoles qui peuvent faire la même chose).
- typosquatting : petname, marques-pages, comparaison du rendu du site actuel avec des rendus connus ;
- comportements malicieux : détection de certains codes (e.g. utilisation du canevas HTML5), etc.
- réputation : blacklist collaborative, plateformes de signalements/notations avec intégration dans le navigateur, etc.
- éviter de donner des informations sensibles : gestionnaires de mots de passes vérifiant l'URL (donc ayant accès à l'URL) ;
- veille : régulièrement vérifier l'existence de domaines similaires ou les acheter (notamment via les "packs" .com/.fr/.eu/...) ;
- etc.
Stricto-sensu, cela ne fait pas parti du protocole HTTPS (considérant que TLS est inclus dans HTTPS) qui ne fait que vérifier la chaîne de certificat.
Là, EV Certificate (CA/Browser forum) c'est bien un protocole complémentaire/différent à HTTPS (RFC).
Après, si EV Certificate est bien cité dans la RFC HTTPS, je veux bien reconnaître mon tord.
Après, il est compliqué de savoir pour un site donné, s'il doit avoir ou non un EV Certificate avant de l'avoir visité une première fois, et on retombe dès lors sur de la sécurité ~ TOFU (trust on first use), à moins d'avoir des connaissances a priori. Mais là, le browser peut difficilement aider, c'est à l'utilisateur de faire attention qu'il y a bien un certificat EV.
C'est pas moi qui voulait utiliser Javascript pour créer des petites applications/démos, mais bien toi :/, ce que je dis c'est que Javascript est bien plus problématique niveau sécurité que le protocole HTTP, tu te perds.
Tu réfléchis pas beaucoup non plus :/, tu crois que dans ce genre d'affaire l'employeur ne va pas savoir d'où ça vient, on n'est pas beaucoup à avoir l'info, moins d'une dizaine de personne.
Et je devrais perdre mon emploi ... pour protéger des gens qui de toute façon ne font pas attention à leurs données personnelles. Merci mais ça ne vaut pas le coup. Et c'est pas bien de sortir des phrases de leur contexte.
C'est ce que je me suis dit du développeur qui avait fait le truc, mais bon quand tu bosse pour ces gens là tu finis par comprendre comment on en arrive là. Visiblement tu ne bosse pas dans le monde du développement informatique, sinon tu comprendrais.
La peau qu'on pli :/ mais je dois avoir un problème d'authentification avec mon cerveau.
Je ne vois pas de quels protocoles tu parle, la seule façon que je vois de lutter contre le typosquatting serait de déposer les noms de domaine de toute les déclinaisons de ton nom de domaine principal.
Mais merci pour la précision entre HTTPS et HTTP, c'est toujours ça de prit, la répétition aide à la mémorisation :p
Les FAI se foutent pas mal que tu lag en allant sur les GAFAMs, ils ne peuvent d'ailleurs pas maitriser la bande passante de tout le chemin parcouru par les requêtes originaire ou destinataire des GAFAMs, les goulots d'étranglement étant inter pays, la remise en cause de la neutralité du Net est bien à cause des GAFAMs qui bouffe toute la bande passante pour leur profit, le Net ne se limite pas au GAFAMs qui utilise le Net dans un but lucratif et qui ont donc besoin que leurs requêtes soient prioritaire pour mieux servir leurs clients, toi en tant qu'utilisateur des GAFAMs tu n'es pas client mais fournisseur non lucratif. On verra le jour où le réseau sera saturé si ils sont toujours pour la neutralité du Net.
C'est pas parce que Google (enfin le service marketing) te dis qu'ils sont pour la neutralité du Net qu'il faut les croire, ils ont besoin que tu continue à leur fournir des données et donc se donne une image de bon samaritain.
Au final, je me dis que je suis pour ralentir les requêtes des GAFAMs qu'ils payent pour avoir une priorité neutre !
Bon pour moi ce ne sont pas des protocoles au sens propre, c'est à dire des règles normalisées, ou des standards publiés et contrôlés par des comités de normalisation ou des organismes dédiés à cela.
Ou alors je me trompe, parce que je n'en connais pas dans ce que tu cites, ça a plus l'air d'être des outils, des extensions, des plug-ins... utiles sans doute, j'ai du utiliser des trucs comme WOT ( https://www.mywot.com/)fut un temps...
Oui ces certificats EV offre un niveau de confiance supplémentaire mais encore faut-il les connaitre, et ça ne fait pas tout de toute façon, juste attester de l'existence d'une société derrière le certificat émis, pas de sa moralité ni quoi que ce soit d'autre. Et ne règle pas tous les problèmes listés par ici
Émotion
Infantilisation
Culpabilisation
Christophe Alévèque - 18 Mars 2021
Enfin bref Google nous casse les bonbons pour pas être vulgaire, si ils veulent, ils n'ont qu'à référencer que les URL HTTPS, un autre référencera toutes les adresses et c'est plus ça qui les gênes, un acteur d'Internet aussi gros soit-il n'a pas à imposer sa vision des choses, si je veux faire un site HTTP simple j'estime être libre de le faire.
Ben oui, et cela peut être tout à fait pertinent, notamment pour les outils collaboratifs ou des démonstrations disponibles en lignes.
Un utilisateur geek qui utilise HTTPS Everywere, pourrait potentiellement s'en apercevoir.
De même, un chercheur en sécurité, ou d'autres profils peuvent faire quelques recherches.
Par contre tu en parles publiquement sur un forum ?
Le contexte était suffisant pour ma réponse consistant à invalider cet (sous-)argument précis.
Je comprends tout à fait que ce soit une technique exploitable et exploitée, mais dans le cas qui nous concerne, on dépasse la limite.
On est pas sur un petit jeu Candy Crush où un joueur pourra au pire modifier son high score. On est un niveau d'enjeux totalement différent et sur des applications bien plus sensibles.
D'autant plus qu'il n'y a aucune raison que de mettre le POST en HTTPS soit trop compliqué, dans le pire des cas, tu installes un bête reverse-proxy qui se chargera de recevoir ton flux TLS et le convertira en clair pour le serveur qui sera derrière.
Alors c'est peut-être pas la faute directement du dev, mais du commercial, du bidule ou du machin, mais il y a eu à quelque part une couille.
J'ai fait une petite liste dans une réponse précédente.
Les FAI ont des obligations contractuelles (de résultats ?) envers leurs clients.
Si un FAI te donne un accès pourri à Youtube, tu vas aussi peut-être changer pour un autre.
Certes, mais ils maîtrisent leur parti du réseau, et c'est pour cette partie qu'ils souhaiteraient que les GAFAM mettent la main à la poche.
Qui sont la cause pour laquelle les FAI remettent en question la neutralité du net.
Pour le moment ils sont pour la neutralité du Net et les FAI sont contre. On parle d'aujourd'hui, pas de demain.
Et le jour où le réseau sera saturé, ce sera aux FAI de l'agrandir.
Ils ont surtout pas envie de se faire racketter par les FAI...
Là tu parles plus des normes ou des standards.
Un protocole c'est presque l'équivalent d'un algorithme. Ces protocoles peuvent être généralement présentés lors de conférences et publiés, mais dans des journaux ou conférences de recherche.
Un certains nombres sont effectivement disponibles sous cette forme.
Non mais pour qui se prennent ils ?
Ils ont pas intérêt à toucher à mon url !
t'es qui toi ?
retourne pleurer chez toi petit être insignifiant et laisse Google œuvré pour un monde meilleur
non mais google fait ce qu'il veut aujourd'hui, si google veut te tuer elle te tuera comme tous petits qui ont déjà essayé et dont on ne connaitre-ra jamais les noms
A part faire un tchatroulette du http, je vois pas trop comment ils pourront faire sans url.
Laisse tomber, j'ai perdu assez de temps, tu réponds en girouette, j'essaye juste de partager mon expérience tandis que tu cherche juste à avoir raison quitte à inventer des protocoles (pourtant tu à l'air de connaitre l’abréviation RFC) ou tronquer ou faire semblant de ne pas comprendre.
On arrivera pas à ce comprendre tous les deux et ça va finir par gaver les autres si c'est pas déjà le cas.
Bon courage pour ton futur emploi, ou plutôt devrais-je dire bon courage à ceux qui devront bosser avec toi.
https://neckara.developpez.com/tutor...bien-debattre/
MDR
Si tu confonds protocoles et normes/standard qu'est-ce que je peux y faire ?
La recherche est bourrée de protocoles de ce genre, et souvent fournit un PoC sous forme d'une extension. Dire que je les "invente" est juste profondément malhonnête.
C'est marrant, on me le ressort à chaque fois maintenant.
Idem, on me le ressort régulièrement, c'est marrant car ça se passe très bien avec ceux qui bossent avec moi.
J'avoue, je ne maitrise pas la communication humaine, mais quand je parle protocole, j'aurais du dire protocole de communication réseaux informatique niveau matériel, sinon oui n'importe qui peut inventer son protocole mais il ne sera pas compris en standard sur le Net. De ton côté, tu aurais du préciser qu'il s'agit de protocole applicatif. je m'en excuse.
Dans mon idée, et par rapport au 1er point, oui tu inventais le fais qu'ils soient des "protocoles de communication réseaux informatique niveau matériel", je m'en excuse également.
Relis tes propos, tu comprendras pourquoi, j'ai lu en diagonale, mais je constate que tu ne respecte mais pas tes conseils, sinon tu éviterais d'employé le mot "incompétent" sans savoir exactement dans quel contexte l'utilisation du HTTP avait était faite, de mon côté je ne peux pas te donner le contexte complet sans que certains développeur que je connais et qui fréquente ce site me reconnaissent, je tiens à garder mon anonymat sur le Net.
C'est marrant, on me le ressort à chaque fois maintenant.
Probablement, parce qu'il y a chez toi un genre de suffisance qui t'empêche de reconnaitre tes erreurs, cela passe sur des projets qui n'ont pas de contrainte de temps et d'argent mais dans le cas contraire cela ne passera pas, ou tu seras identifié comme risque sur les projets, ton discours fonctionnera probablement devant les RH et commerciaux mais devant les experts qui auront la même suffisance et maitrise de la langue que toi, tu te feras tout petit au risque d'aller au clash, et en entreprise ça passe très mal, surtout en prestation.
Je vois "historien" dans ton profil.... en tout cas t'a pas du étudier l'histoire du WWW... et puis soigne ton orthographe : "connaitre-ra" ça fait tache pour un "historien" mais c'est vrai que le niveau général des études est en baisse depuis de nombreuses années déjà....
t'a rien compris mais c'est po grave
je voulais dire que google est tellement puissante que je vois qui vas empêcher de faire ce que google a décider de faire
D'accord je comprends.
Ces conseils datent un peu.
Pour la petite histoire, je les avais écrit surtout par rapport à mon expérience de l'époque sur les sous-forums techniques. Le forum actualité/politique est bien différent à bien des égards, et il arrive qu'on perde patience. Derrière il y a aussi la pression, le fait de travailler 50 à 70h par semaines, une situation future incertaine et précaire, de courir à droite et à gauche, ça aide pas.
On se fatigue des bêtises qui sont balancées à droite et à gauche, jusque dans les médias les plus réputés sérieux, on découvre des atrocités, la folie de certains militants/syndicalistes, la progression de certains idéologies dangereuses, la bêtise ambiante dans notre pays, l'administration, la pseudo-science, les antivaxx, la pseudo-médecine, etc.
On reste humain, quand on intervient sur plusieurs sujets où on lit un peu n'importe quoi, ça se répercute aussi sur les autres. Prendre sur soi, ça demande du temps, d'être détendu, je n'ai plus rien de tout cela.
Je comprends.
D'un autre côté, je pense aussi que les gens se font avoir par mon "statu étudiant", et s'imaginent que je suis un petit jeunot qui connait rien à la vie et qui vient leur donner des leçons. Ce qui n'est pas si éloigné de ce que je fais, entre autre, dans la vrai vie (encadrement TD/TP).
Sauf que je suis un expert… et même le plus grand expert mondial sur le sous-sous-domaine très très précis sur lequel je travaille, c'est la définition même de faire une thèse. J'ai des connaissances que personne d'autre ne possède tant que je ne les aie pas publiées, parce que je produis de la connaissance, je fais avancer la recherche. Je participe à des conférences, où je peux voir l'état de l’art du domaine, l'information en avant-première. J'ai des relations internationales avec des chercheurs reconnus internationalement, etc. Tes experts, c'est mes collègues/ex-collègues.
Bon, y'a pas non-plus de quoi casser 3 pattes à un canard, c'est le cas de tous les doctorants.
Faut pas croire qu'au prétexte qu'on a encore un statu étudiant qu'on reste des morveux boutonneux ignares et encore dépendant de papa-maman.
Si si.... Contrairement à toi je connais Internet depuis ses débuts... et ça date pas d'hier...
NOUS
Ce ne serai pas la première ni la dernière fois que Google ferai marche arrière...
Internet est un support de transport de l'information que Google ne contrôle pas et ne maitrise pas, il l'utilise seulement (plutôt bien d'un point de vue communication)
Il n'est pas propriétaire ni des câbles ni des réseaux ni des routeurs ni des protocoles ni des informations qui circule dessus même si l'entreprise aime bien faire croire que "Google" = "Internet"...
Ce n'est qu'un moteur de recherche / réseau social / fournisseur de messagerie qui cherche à contrôler tes informations pour refourguer des campagnes
de pub pendant ton temps de cerveau disponible....
Google n'existait pas avant Internet et n'existera peu être plus après sa seule richesse sont nos informations... et leur crédibilité...
Finalement, je m'aperçois que l'on est pas si différent dans la pensée, je fais également le même constat de notre société soit disant civilisé.
C'est plus l'expérience en entreprise que je visais, même si quelques part c'est vrai que je te voyais comme un jeunot, je n'ai rien contre les étudiants, je l'ai été aussi et j'en ai croisé de très compétent, et c'était pas en école d'ingénieur mais en IUT, comme quoi le niveau d'étude ne gage rien, la passion et la curiosité sont de bien meilleurs moteur, quand je vois tous ce que j'ai appris pendant mes études et ce que j'utilise aujourd'hui, il y a de quoi se poser des questions. Pour en revenir aux étudiants, c'est vrai aussi qu'il y en a qui n'ont rien à faire dans le domaine de l'informatique mais cela ne les empêchera pas d'avoir leur diplôme, et on les retrouve en entreprise qui s'appuie en permanence sur les autres se faisant valoir en profitant de ceux pour qui ce n'est pas le but (parfois même avec des méthodes plus que douteuse), plus tard ils monteront dans la hiérarchie, et prendront des décisions ou pas d'ailleurs mais toujours à côté de la plaque.D'un autre côté, je pense aussi que les gens se font avoir par mon "statu étudiant", et s'imaginent que je suis un petit jeunot qui connait rien à la vie et qui vient leur donner des leçons. Ce qui n'est pas si éloigné de ce que je fais, entre autre, dans la vrai vie (encadrement TD/TP)
Le monde de l'entreprise est très loin de ce qui est décrit dans les écoles et université. Dites adieu aux spécifications/conceptions avant la réalisations.
Puis-je te demander quel est ce domaine d'expertise ? Je serais ravi de lire tes travaux, notamment si il s'agit de sécurité "informatique".
il y en a beaucoup quand même :p, et le pire c'est que beaucoup d'entre eux prennent pour cible ceux qui travaille réellement et qui prennent leur études au sérieux, et qui en plus ne peuvent eux pas compter sur papa/maman, et travail en parallèle de leur études pendant que les autres font la fête avec leur bourse qui pour eux est de l'argent de poche.
Sinon, pour en revenir à HTTP/HTTPS, je n'ai rien contre HTTPS, il est bien sûr plus que nécessaire mais pas suffisant pour les sites de commerce, mais de là à vouloir supprimer HTTP c'est extrémiste et il n'y a pas que du commerce sur le web.
Aussi, bien sûr que Javascript embellie les pages web par leur dynamisme, mais le problème est qu'il est bien souvent utilisé sans savoir ce qu'il y a derrière notamment avec la multitude de framework et sous framework et bibliothèque de framework, c'est pour moi une grosse faille de sécurité, on dit qu'il ne faut pas réinventer la roue en informatique ce qui est vrai la plupart du temps, mais dans le cas des entreprises a but commercial récoltant les données bancaire voire identitaire/personnelles qui ré-utilisent ces frameworks tel quel sans sonder le code, c'est réellement un gros problème, plus que le HTTP qui n'est bien sûr pas utilisé en Front par les entreprises.
Et il ne faut pas croire que le code de Google est différent et plus sécurisé que les autres, j'ai perdu beaucoup de temps à corriger des bugs dans leur code quand j'ai du l'utiliser, pour faire des trucs simple en général cela fonctionne plus tôt bien, mais dès que tu veux faire quelque chose de plus complexe, les bugs apparaissent et qui dit bugs dit failles.
Passion et curiosité sont nécessaires, mais pas suffisantes. Il te faut avoir des bases solides, une méthode de travail, et un aperçu global du domaine. Chose qu'il est difficile d'obtenir en étant un pur autodidacte.
Le niveau d'étude est censé qualifier un niveau minimum qu'on est censé avoir en sorti… même si ce niveau est plutôt faible et quelques uns passent entre les mailles du filet. Sachant aussi que toutes les écoles ne se valent pas.
En fait l'idéal est d'avoir les deux.
J'en connais des comme ça, en effet…
Bon je te rassures, ils restent minoritaires.
Cela dépend énormément de l'entreprise. Pour certaines, c'est du bon gros cycle en V obligatoire, ne serait-ce parce qu'on joue avec des vies humaines avec un système complexe (e.g. conceptions d'avions). Pour d'autre, il faut au minimum un cahier des charges qui sera contractuel.
Même si je révèle (trop) d'informations, je tiens à conserver mon anonymat, ce qui me permets de m'exprimer ici librement.
Il sèchent aussi les cours puis ils viennent pleurer parce que les examens sont trop dur et qu'ils doivent aller en session 2.
Et comme faut pas faire baisser les stats de l'école, on donne la session 2, et on nivelle le niveau vers le bas. Ceux qui ont travaillé comme des malades pendant 5 années, obtiennent le même diplôme qui ne vaut plus grand chose. Et pour enfoncer le clou, à la remise des diplômes, on met à l'honneur le bureau des étudiants (a.k.a. soirées beuveries) en ignorant plus ou moins les majeurs de promos.
Et pour les abrutis qui continuent en thèse… c'est pas fini, tu bosses 2x plus pour gagner 2x moins, pour après 3 ans aboutir à une période de précarité de ~3ans, avec l'incertitude de décrocher un poste avec un salaire toujours inférieur à ce que tu aurais eu en BAC+5. Tu continues à sacrifier ta vie pendant 3 ans, voire ta vie, si tu essayes ensuite de faire correctement ton travail où on te demande de faire 11 métiers en même temps.
Ceux qui prennent leurs études au sérieux, sont des abrutis de bonnes poires, c'est ça la triste réalité.
On est d'accord.
Cf l'autre sujet, HTTPS n'est pas uniquement utile pour des sites de commerce.
Perso je n'utilise que JQuery/Bootstrap pour des sites "simples".
Mais JS n'est pas uniquement utilisé pour embellir les pages, notamment, pour des démonstrations, je peux utiliser un certain nombre de bibliothèques, tout simplement parce que je n'ai ni le temps, ni l'utilité de les recoder. Par exemple, pour afficher un éditeur de code/JSON/XML, pour afficher des graphiques, etc. je ne vais pas m'amuser à tout recoder à la main.
C'est ce que je pensais et c'était mon but en rentrant dans une école, certes pas super quotté, puis je me suis dis qu'en entreprise en travaillant avec des gens qui ont de l'expérience, j'apprendrais, et bien non, il y a bien sûr mais ils sont rare et ça fait longtemps que j'en ai pas re-croisé, au final je me suis fait ma propre expérience en voyant les erreurs commise sur différent projet, cela dis on s'en sort toujours, les projets sont bien terminé mais en devant faire des heures sup, du stress, des tentions ...
Au final, même si c'était pas parfait à l'école c'était quand même plus carré.
J'ai aussi travaillé pour d'autres domaines, et l'avionique en fait partie, certes ils font du cycle en V et même d'autres nouvelles méthodes à ce qu'ils disent, mais c'est surtout le code qui fait foi les spécifications ne sont pas plus abouti au moment de la réalisation, parfois même rédigé après, encore une fois ceux qui sont censé organiser les choses (les hautes sphères) ne le font tout simplement pas. Par contre, oui il y a un cahier des charges mais personnellement, je ne le vois pas toujours même si je sais qu'il existe.
En PV peut être ?
Même les BAC+5 ne sont pas super payé (enfin ceux qui ne sorte pas d'école qui sont dans le top10), faut voir combien paye les SSII, perso au début je gagnais autant que lorsque je faisais de l'intérim dans d'autres domaines que l'informatique, bon après je bossais jusque 10h-11h par jour pour un peu plus que le SMIC horaire, c'est vrai que c'est plus pénard en SSII pour le même salaire, même si des fois tu ne compte pas non plus tes heures.
Faut pas dire ça, on a besoin que l'humanité évolue, et on apprend quand même pas mal de choses, faut juste pas se faire d'illusion quant à l'utilisation de tout ce bagage en entreprise, ou sinon monter sa propre boite et en informatique il n'y a pas besoin de gros moyen pour le faire.
J'avoue, j'ai fais un raccourci un peu vite, disons les sites qui ont une bonne fréquentation, plus il sera connu, plus il attirera des petits malins qui veulent se faire la main, je ne leur en veux pas non plus, à condition qu'ils comprennent ce qu'ils font et n'utilise pas des trucs tout fait.
Je les ai utilisé aussi, et passé de Javascript pur à Jquery a été un plaisir c'est sûr mais bon la promesse d'abstraction du navigateur était pas là non plus, fallait quand même faire du spécifique, mais sinon ça facilite la vie c'est sûr.
Bien sûr, mais cela reste une utilisation personnelle et non exposé, pour une banque par contre c'est risqué mais à priori ils calculent le risque et financièrement pour eux ça vaut le coup, ils préfèrent rembourser les quelques clients floué que d'investir dans leur propres framework.
Ok, j'essayerais de t'envoyer un MP dans la semaine.
Là où j'étais, la moyenne brute tourne entre 35 et 45k, je suis à ~20k.
C'est pas dégueux comme salaire.
Je dois être à ~2/3 du SMIC horaire.
Bon, je suis très content de mon travail et de mon salaire, c'est juste que j'ai parfois l'impression d'être une bonne poire.
Si encore derrière on ne venait pas nous enquiquiner sur la manière d'enseigner, ou à nous dire qu'il faudrait en plus faire ceci ou cela.
D'ailleurs c'est aussi le cas pour la fraude.
Payer quelques millions de fraude, c'est pas grand chose. Payer quelques milliards pour empêcher la fraude, ça vaut pas le coup.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager