Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Profil pro
    Inscrit en
    août 2010
    Messages
    4
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2010
    Messages : 4
    Points : 60
    Points
    60
    Par défaut False Start pour une navigation plus rapide
    Connexions SSL 30 % plus rapides avec « False Start »
    Une innovation de Google compatible avec la majorité des sites Web

    Mise à jour du 20/05/2011 par Idelways


    Des chercheurs de Google dévoilent les résultats d'une longue expérimentation ayant pour but la réduction des délais d'établissement des connexions SSL sécurisées entre le navigateur et les sites Web.
    Une lenteur qui freine quelque peu l'adoption de cette mesure de sécurité, pourtant indispensable comme en témoigne l'épisode FireSheep (lire par ailleurs).

    La technique conçue par Google s'appelle « False Start ». Implémentée sur le navigateur Chrome depuis la version 9, elle réduit de 30 % le temps nécessaire à l'établissement des connexions SSL (Secure Sockets Layer)

    Son fonctionnement repose sur la réduction de la quantité de données échangée entre le serveur et le navigateur durant la négociation d'une nouvelle session.

    La spécification exige des échanges en deux aller-retour avant que la clé soit récupérée et le tunnel SSL créé. Une contrainte qui peut ralentir le temps de chargement des pages et augmenter la quantité de paquets devant être traités.

    La solution de Google écourte la négociation en réduisant ces échanges à un seul aller-retour. Elle fonctionne pour la majorité des sites Web, sans aucune intervention sur les serveurs HTTPS.

    Adam Langley, Nagendra Modadugu et Bodo Moeller, ingénieurs à l'origine de cet exploit, affirment sur le blog de Chromium avoir testé cette solution sur tous les sites HTTPS de l'index Google.
    94.6 % des connexions False Start ont réussi contre 0.4 % d'échecs. Les 5 % des sites restants étant indisponibles.

    Un test plus robuste a donc été conçu pour analyser les raisons du 0.4 % d’échecs.
    En dehors des certificats expirés et les autres raisons indépendantes de False Start, les chercheurs de Google affirment que les certificats restants sont délivrés par une poignée de fournisseurs, contactés par Google à ce sujet.

    La plupart d'entre eux aurait déjà corrigé ce problème, en voie de l'être aussi pour les fournisseurs de certificats SSL restants.

    En attendant, Google Chrome et Chromium désactivent False Start pour les sites répertoriés dans une liste noire.

    La proposition de Google a été soumise l'année passée (en vue de sa standardisation, lire ci-devant) à l'Internet Engineering Task Force, un groupe international ouvert, qui participe à l'élaboration de standards pour Internet.


    Plus de détails sur la proposition de Google sur cette page

    Source : Blog de Chromium

    Et vous ?

    Qu'en pensez-vous ?





    Chrome va accélérer la navigation
    Avec False Start, un protocole qui fonctionnerait avec presque tous les sites



    Google va utiliser Chrome pour minimiser le temps de transfert des données lors de la navigation, surtout sur les sites Web trop lents.

    Cette nouvelle technologie s'appelle False Start. Elle agit sur les communications entre le navigateur et le serveur lors de l’établissement d’une connexion sécurisée.

    Résultat annoncé, une réduction du temps de transfert des données de 7 centièmes de secondes pour une connexion sur les Etats-Unis et de 15 centièmes de secondes pour une connexion entre les Etats-Unis et l’Europe.

    La technologie False Start ne nécessite aucun changement sur le serveur. Adam Langely, co-auteur du protocole False Start affirme que c’est au niveau du navigateur que le protocole agit.

    Google Chrome a implémenté sur son navigateur une ligne de commande qui permet aux utilisateurs d’activer à volonté le protocole. Une fonctionnalité qui n'est pas sans rappeler le « Turbo » de Opera.

    Adam Langely estime sur son blog que cette technologie n’est cependant pas applicable à tous les sites. Une limite toutefois assez faible puisque seuls 0,05% des sites ne fonctionneraient pas avec False Start.

    Quoiqu'il en soit, l’équipe Google Chrome a créé une liste noire qui regroupe les sites non compatibles.

    Selon Adam Langely, cette Black List est difficile à maintenir à jour. Mais elle reste nécessaire pour inciter ces sites à devenir compatibles.

    False Start sera en tout cas vue comme une très bonne intitative par de nombreux webmestres. Encore plus depuis qu'une étude a montré que les internautes désertent les sites Web qu'ils jugent lents.



    Source : le blog d'Adam Langley et le site du projet False Start


    Et vous ?

    Bonne idée que ce False Start ou le gain de temps vous parait-il minime ?

  2. #2
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 866
    Points
    1 866
    Par défaut
    Le mode turbo d'Opera est au contraire extrêmement différent puisqu'il fait passer les connexions par un proxy qui compresse les pages web et recompresse les images avant de les transmettre au navigateur.
    Maintenant est-ce que 15 centièmes de secondes gagnés sont ne serait-ce que perçus par l'utilisateur ?
    If it's free, you are not the customer, you are the product.

  3. #3
    Membre averti

    Inscrit en
    octobre 2004
    Messages
    363
    Détails du profil
    Informations forums :
    Inscription : octobre 2004
    Messages : 363
    Points : 410
    Points
    410
    Par défaut
    Elle agit sur les communications entre le navigateur et le serveur lors de l’établissement d’une connexion sécurisée
    Et quid de la charge supplémentaire que le serveur doit encaisser ? Est-ce qu'en plus du souci d'optimisation de multiples CMS les dev et IT vont devoir travailler à résoudre encore des charges serveur supplémentaires ?

  4. #4
    Membre actif
    Homme Profil pro
    Inscrit en
    mars 2007
    Messages
    162
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Belgique

    Informations forums :
    Inscription : mars 2007
    Messages : 162
    Points : 290
    Points
    290
    Par défaut
    Citation Envoyé par jamesfayssal Voir le message
    Elle agit sur les communications entre le navigateur et le serveur lors de l’établissement d’une connexion sécurisée.
    Uniquement https donc?

  5. #5
    Rédacteur
    Avatar de Nathanael Marchand
    Homme Profil pro
    Expert .Net So@t
    Inscrit en
    octobre 2008
    Messages
    3 615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert .Net So@t
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2008
    Messages : 3 615
    Points : 8 080
    Points
    8 080
    Par défaut
    Et après y'en a qui râlent quand c'est Microsoft qui crée ses propres "standards" du web

  6. #6
    Membre actif
    Profil pro
    Inscrit en
    avril 2009
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2009
    Messages : 184
    Points : 263
    Points
    263
    Par défaut
    Non, personne ne râle quand microsoft crée et propose ses standards, par contre il est sain de râler quand ms tente de les imposer en abusant de sa position dominante, nuance.

    C'est bien souvent les entreprises qui lancent une innovation et la testent sur leurs propres produits. ensuite, ces mêmes entreprises font partager leurs retours d'expérience aux comités de normalisation. Et c'est là qu'émerge la norme.

    Par contre, j'ai vraiment pas compris comment ça marche techniquement.

  7. #7
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 866
    Points
    1 866
    Par défaut
    Par contre, j'ai vraiment pas compris comment ça marche techniquement.
    Pendant l'établissement de la connexion.
    Ils réduisent le nombre d'informations envoyées par les 2 parties avant l'envoie du contenu. Bref, ils allègent le protocole TLS
    If it's free, you are not the customer, you are the product.

  8. #8
    Rédacteur
    Avatar de pseudocode
    Homme Profil pro
    Architecte système
    Inscrit en
    décembre 2006
    Messages
    10 061
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte système
    Secteur : Industrie

    Informations forums :
    Inscription : décembre 2006
    Messages : 10 061
    Points : 15 768
    Points
    15 768
    Par défaut
    Citation Envoyé par Neko Voir le message
    Pendant l'établissement de la connexion.
    Ils réduisent le nombre d'informations envoyées par les 2 parties avant l'envoie du contenu. Bref, ils allègent le protocole TLS
    Tout a fait. En gros le protocole TLS (abusivement appelé SSL, https) procède en deux phases:

    phase 1 : Négociation de la méthode de chiffrage entre le client et le serveur

    (Cette phase inclut aussi le type d'authentification des pairs, via les certificats)

    phase 2 : Échange des clés de chiffrages entre le client et le serveur

    Avec "false start", on aurait seulement la phase d'échange des clés. Le type d'authentification et la méthode de chiffrage serait alors implicite.
    ALGORITHME (n.m.): Méthode complexe de résolution d'un problème simple.

  9. #9
    Membre actif
    Profil pro
    Inscrit en
    avril 2009
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2009
    Messages : 184
    Points : 263
    Points
    263
    Par défaut
    D'accord ! Par contre ça veut dire qu'on se met d'accord pour un protocole implicite a priori, du coup, on ne peut pas en changer à l'avenir si ce protocole vient à montrer des faiblesses non ? N'est-ce pas risqué ?

  10. #10
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 866
    Points
    1 866
    Par défaut
    Ben TLS ( complet ) est toujours pris en charge. Si False Start montre des déficiences il sera toujours possible d'y revenir.
    Par contre la perte de l'authentification semble être une baisse du niveau de sécurité.
    If it's free, you are not the customer, you are the product.

  11. #11
    Rédacteur
    Avatar de pseudocode
    Homme Profil pro
    Architecte système
    Inscrit en
    décembre 2006
    Messages
    10 061
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte système
    Secteur : Industrie

    Informations forums :
    Inscription : décembre 2006
    Messages : 10 061
    Points : 15 768
    Points
    15 768
    Par défaut
    Citation Envoyé par Neko Voir le message
    Ben TLS ( complet ) est toujours pris en charge. Si False Start montre des déficiences il sera toujours possible d'y revenir.
    Par contre la perte de l'authentification semble être une baisse du niveau de sécurité.
    Mon explication était mal formulée. J'ai modifié mon message pour que ce soit plus clair.

    Il y a toujours une authentification avec "False Start" mais il n'y a pas de négociation sur le type d'authentification, tout comme il n'y a pas de négociation sur la méthode de chiffrage.
    ALGORITHME (n.m.): Méthode complexe de résolution d'un problème simple.

  12. #12
    Membre habitué
    Avatar de savageman86
    Profil pro
    Inscrit en
    octobre 2006
    Messages
    105
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : octobre 2006
    Messages : 105
    Points : 197
    Points
    197
    Par défaut
    Le titre est trompeur... Accélérer uniquement les connexions sécurisées, ça n'accélère pas le web... Ni la navigation.
    L'histoire ne dit pas non plus combien de temps est nécessaire en moyenne pour le transfert, puis de rendu d'une page simple comme la page d'accueil Google par exemple. Du coup on ne sait absolument pas quel pourcentage pourrait représenter cet "méga vitesse trop rapide".

  13. #13
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 487
    Points
    68 487
    Par défaut
    Connexions SSL 30 % plus rapides avec « False Start »
    Une innovation de Google compatible avec la majorité des sites Web

    Mise à jour du 20/05/2011 par Idelways


    Des chercheurs de Google dévoilent les résultats d'une longue expérimentation ayant pour but la réduction des délais d'établissement des connexions SSL sécurisées entre le navigateur et les sites Web.
    Une lenteur qui freine quelque peu l'adoption de cette mesure de sécurité, pourtant indispensable comme en témoigne l'épisode FireSheep (lire par ailleurs).

    La technique conçue par Google s'appelle « False Start ». Implémentée sur le navigateur Chrome depuis la version 9, elle réduit de 30 % le temps nécessaire à l'établissement des connexions SSL (Secure Sockets Layer)

    Son fonctionnement repose sur la réduction de la quantité de données échangée entre le serveur et le navigateur durant la négociation d'une nouvelle session.

    La spécification exige des échanges en deux aller-retour avant que la clé soit récupérée et le tunnel SSL créé. Une contrainte qui peut ralentir le temps de chargement des pages et augmenter la quantité de paquets devant être traités.

    La solution de Google écourte la négociation en réduisant ces échanges à un seul aller-retour. Elle fonctionne pour la majorité des sites Web, sans aucune intervention sur les serveurs HTTPS.

    Adam Langley, Nagendra Modadugu et Bodo Moeller, ingénieurs à l'origine de cet exploit, affirment sur le blog de Chromium avoir testé cette solution sur tous les sites HTTPS de l'index Google.
    94.6 % des connexions False Start ont réussi contre 0.4 % d'échecs. Les 5 % des sites restants étant indisponibles.

    Un test plus robuste a donc été conçu pour analyser les raisons du 0.4 % d’échecs.
    En dehors des certificats expirés et les autres raisons indépendantes de False Start, les chercheurs de Google affirment que les certificats restants sont délivrés par une poignée de fournisseurs, contactés par Google à ce sujet.

    La plupart d'entre eux aurait déjà corrigé ce problème, en voie de l'être aussi pour les fournisseurs de certificats SSL restants.

    En attendant, Google Chrome et Chromium désactivent False Start pour les sites répertoriés dans une liste noire.

    La proposition de Google a été soumise l'année passée (en vue de sa standardisation, lire ci-devant) à l'Internet Engineering Task Force, un groupe international ouvert, qui participe à l'élaboration de standards pour Internet.


    Plus de détails sur la proposition de Google sur cette page

    Source : Blog de Chromium

    Et vous ?

    Qu'en pensez-vous ?

  14. #14
    Membre habitué Avatar de ludosoft
    Homme Profil pro
    Chef de projet technique
    Inscrit en
    juillet 2002
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Chef de projet technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2002
    Messages : 99
    Points : 132
    Points
    132
    Par défaut
    Question un peu naïve mais essentielle : quel est l'impact de cet allègement sur le niveau de sécurité ?
    Je comprends bien que cela ne touche pas le tunnel ssl en lui-même une fois établi mais l'allègement de la négociation a t-il un impact dans le cas du "man in the middle" ?
    Et un d'plus en moins !

  15. #15
    Rédacteur
    Avatar de pseudocode
    Homme Profil pro
    Architecte système
    Inscrit en
    décembre 2006
    Messages
    10 061
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte système
    Secteur : Industrie

    Informations forums :
    Inscription : décembre 2006
    Messages : 10 061
    Points : 15 768
    Points
    15 768
    Par défaut
    Citation Envoyé par ludosoft Voir le message
    Question un peu naïve mais essentielle : quel est l'impact de cet allègement sur le niveau de sécurité ?
    Je comprends bien que cela ne touche pas le tunnel ssl en lui-même une fois établi mais l'allègement de la négociation a t-il un impact dans le cas du "man in the middle" ?
    Non, pas vraiment. Avec "False Start" c'est simplement qu'il n'y a pas de négociation sur le type de chiffrement, mais une obligation d'utiliser un chiffrement standard. Ce chiffrement est actuellement assez fort (128/256 bits) pour que ca ne pose pas de problème supplémentaire.
    ALGORITHME (n.m.): Méthode complexe de résolution d'un problème simple.

  16. #16
    Membre confirmé
    Avatar de clavier12AZQSWX
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    avril 2009
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : Technicien maintenance

    Informations forums :
    Inscription : avril 2009
    Messages : 872
    Points : 624
    Points
    624
    Par défaut
    quand on lit "Connexions SSL 30 % plus rapides" qu'avec une connexion http simple.

    ça veut donc dire aussi que le http reste 70% plus lent qu'une connexion http simple

    le bon titre auraît donc dû être :

    Connexions SSL 30 % moins lent

  17. #17
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 487
    Points
    68 487
    Par défaut
    Bonjour Michael REMY,

    Il faut plutôt lire "Connexions SSL 30 % plus rapides que les même connexions SSL sécurisés avant que Google n'intègre False Start à Google Chrome", mais on ne peut pas toujours tout mettre dans le titre

    Cordialement
    Idelways

  18. #18
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 187
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 187
    Points : 2 620
    Points
    2 620
    Par défaut
    bon j'y connais rien mais ça me pose des questions :

    - pourra-t-on toujours garantir que le tunnel crypté est bien établi correctement ?
    - dans le cas où il ne le serait pas, on le verra ?

    Je demande ça, parce que Google veut d'un certain point de vue chinté certaine parties du protocole TLS pour allez plus vite, et c'est le hic, si on est moins "sécurisé" à cause de ça.

Discussions similaires

  1. Réponses: 7
    Dernier message: 30/08/2013, 20h48
  2. Réponses: 1
    Dernier message: 18/10/2010, 12h45
  3. [SQL + VB.NET] Alléger mon code pour un accès plus rapide
    Par Miles Raymond dans le forum VB.NET
    Réponses: 8
    Dernier message: 16/10/2007, 00h09
  4. Réponses: 2
    Dernier message: 12/12/2006, 23h25
  5. Réponses: 3
    Dernier message: 23/06/2006, 12h58

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo