Mozilla déclare la guerre contre le HTTP non-sécurisé

Citation:

---

Envoyé par Matthieu Vergne

Donc si tu as d'autres arguments montrant que le tout HTTPS est gênant soit pour l'utilisateur, soit pour l'admin du site, je suis tout ouïe.

---

Et du point de vu écologique ?
Le cryptage / décryptage, c'est du temps machine et donc, de la consommation électrique

Alors pour un internaute, même à l'année, c'est peu de chose voir carrément négligeable
Mais à l'échelle mondiale, c'est tout autre chose

Si la généralisation du HTTPS augmente la consommation électrique des datacenter ne serait-ce que de 1%, ça représente quelques mégawatt pour rien.

Par ailleurs, ça serait assez intéressant de constater la perte d'autonomie que ça représenterai sur un mobile...

Citation:

---

Envoyé par Saverok

Et du point de vu écologique ?
Le cryptage / décryptage, c'est du temps machine et donc, de la consommation électrique

Alors pour un internaute, même à l'année, c'est peu de chose voir carrément négligeable
Mais à l'échelle mondiale, c'est tout autre chose

Si la généralisation du HTTPS augmente la consommation électrique des datacenter ne serait-ce que de 1%, ça représente quelques mégawatt pour rien.

Par ailleurs, ça serait assez intéressant de constater la perte d'autonomie que ça représenterai sur un mobile...

---

Moi je veux bien, mais d'une part il faudrait des chiffres concret, et non juste de la spéculation (est-ce que tu aurais des références à proposer, même si ce n'est pas exactement ces mesures là dire de se faire au moins une idée ?), et d'autres part il ne faut pas mélanger relatif et absolu : 1% c'est rien, que ce soit 1W ou 1 GW. 1W sur 100W c'est tout aussi négligeable que 1GW sur 100GW.

Bonjour,

Je ne comprends pas mozila. En agissant de la sorte, ils semble faire comme apple ou comme les politiciens : prendre les décision en dessus des gens. Où passe la libérté de choix et l'esprit communautaire du logiciel libre ?

Merci de me renseigner

Salutations

Citation:

---

Envoyé par Battant

Je ne comprends pas mozila. En agissant de la sorte, ils semble faire comme apple ou comme les politiciens : prendre les décision en dessus des gens. Où passe la libérté de choix et l'esprit communautaire du logiciel libre ?

---

Nulle part, tu peux toujours reprendre le code de Firefox et le modifié comme tu le souhaites. Libre ne veut pas dire que tu peux faire ce que tu veux avec le code des autres, mais que tu peux t'en faire une copie perso et faire ce que tu veux avec. Si Mozilla veut imposer le HTTPS avec son navigateur, il en a tout à fait le droit, et il devra en assumer les conséquences. Et de ce que j'ai compris, c'est un avis plutôt partagé :

Citation:

---

Toutefois, après une discussion approfondie sur le sujet, la communauté active sur la liste de diffusion de Mozilla s’est mise d’accord sur la nécessité de bien étudier le compromis entre la sécurité et la compatibilité Web.

---

Donc le communautaire est toujours là.

La différence avec Apple, c'est que tu ne peux pas te faire ta propre version le jour où le produit ne te plaît plus. L'analogie avec les politiciens, je laisse ça de côté.

HS:

Citation:

---

Envoyé par Matthieu Vergne

Libre ne veut pas dire que tu peux faire ce que tu veux avec le code des autres

---

Si :) L'utilisateur d'un logiciel libre doit pouvoir l'utiliser, le modifier et le partager comme il l'entend. Ce qui fait que, comme vous le dites, on peut faire sa propre version de Firefox si ce navigateur ne nous plaît plus.

Citation:

---

Envoyé par Muchos

Si :) L'utilisateur d'un logiciel libre doit pouvoir l'utiliser, le modifier et le partager comme il l'entend. Ce qui fait que, comme vous le dites, on peut faire sa propre version de Firefox si ce navigateur ne nous plaît plus.

---

Oui, tu peux faire ta propre version, et non changer la version d'un autre. C'est là tout le sens de ma phrase que tu ne cites que partiellement. Détails en spoiler.

Tu ne peux pas modifier le code des autres. C'est une interprétation commune mais foireuse où les gens croient que n'importe qui peut modifier le code de Mozilla Firefox ou d'un autre projet libre, alors que non : ils peuvent faire une copie de celui-ci et faire ce qu'ils veulent de leur copie, et non ce qu'ils veulent du code d'origine qui reste la propriété de son auteur. Ils peuvent ensuite proposer leur modification au propriétaire du code d'origine, mais c'est lui qui décide si il prend la modif ou non. Un code libre n'est pas un code qu'on peut modifier directement comme on l'entend. Mais bien entendu, je ne parle pas là d'un concept abstrait de code où tous les forks de Firefox seraient le même code, mais bien d'une instance concrète, une copie conforme étant un autre code, syntaxiquement identique mais une autre instance. Je cite Wikipédia :

Citation:

---

Aujourd'hui, un logiciel est considéré comme libre, au sens de la Free Software Foundation, s'il confère à son utilisateur quatre libertés (numérotées de 0 à 3)7 :

la liberté d'exécuter le programme, pour tous les usages ;
la liberté d'étudier le fonctionnement du programme et de l'adapter à ses besoins ;
la liberté de redistribuer des copies du programme (ce qui implique la possibilité aussi bien de donner que de vendre des copies) ;
la liberté d'améliorer le programme et de distribuer ces améliorations au public, pour en faire profiter toute la communauté.

L'accès au code source est une condition d'exercice des libertés 1 et 3.

---

On parle là d'une instance de programme : l'exécutable de Firefox que tu fais tourner sur ta machine, et non l'exécutable de ton voisin, même si le binaire est une copie conforme. Et comme dit à la fin, l'accès au code source est nécessaire pour pouvoir modifier ton programme (celui qui tourne sur ta machine), et a fortiori distribuer tes changements. Pour cela, il faut que tu ais toi-même une copie du code source que tu peux modifier. Mais ça ne veut pas dire que tu peux modifier le code qui se trouve sur les serveurs de Mozilla ou sur la machine de ton voisin. Donc j'insiste, libre ne veux pas dire que tu peux modifier le code des autres, seulement que tu peux en avoir une copie pour modifier cette dernière.

En ce qui me concerne le seul vrai problème est le prix des certificats délivrés par des autorités reconnues par les principaux acteurs (Mozilla, Microsoft, Apple, Google). Si ils proposent une solution pour obtenir à moindre coût des certificats suffisamment conformes pour ne pas générer des alertes ou des warning ça ne dérangerait pas, mais il faudra que l'autorité ne soit pas reconnue que par les produits mozilla. A moins qu'ils envisagent de proposer un nouveau protocole sécurisé qui ne nécessite pas de certificat?

Il n'y a encore pas si longtemps (quelques mois, de mémoire), Firefox affichait un warning sur le certificat utilisé par google.fr. Aujourd'hui encore, le cadena affiché par Firefox sur google.fr n'est pas vert mais gris car "Ce site web ne fournit pas d'informations sur son propriétaire". C'est dire que ce n'est pas seulement une question financière.

J'ai l’impression que c'est plus ou moins l'opinion générale. Cependant je voudrais quand même réagir sur un point que j'ai lu plusieurs fois dans les commentaires: soit disant que la plupart du temps, utiliser une connexion sécurisée ne serait pas très utile. C'est l'occasion de rappeler que si en France, en Europe ou en Amérique du nord la liberté d'expression et d'accès à l'information est relativement bien protégée, c'est loin d'être le cas partout sur la planète. A commencer par la Russie et la Chine.

Le succès de réseaux protégés comme Tor montre l'intérêt que beaucoup de monde trouve à des connexions sécurisée (pas toujours pour de bonne raisons d'ailleurs, mais c'est une autre histoire). A moment où on vote en France une loi assez laxiste sur le renseignement, il me semble que la nécessité de connexion sécurisée se fera de plus en plus sentir.

Cela dit, là on ne parle finalement que de la sécurité de la connexion: avec des site de vente en ligne qui sauvegardent nos numéros de cartes bancaires, et plus globalement tous les sites qui se font siphonner leurs bases de données régulièrement, ceux qui nous limitent l'utilisation de mots de passe sécurisés (limite à 8 caractères, pas d'espace ou de caractères spéciaux, voir que des chiffres et qui nous le renvoie par mail), les nouvelles technos qui voudraient utiliser la biométrie comme identification (c'est pratique un genre de mot passe qu'on ne peut pas changer et qui sera le même partout...), les objets connectés ouverts à tous vents.

Bref, la sécurisation de la connexion n'est qu'un des maillon de la chaînes, et y'a encore beaucoup de maillons à sécuriser.

Au passage il n'y a pas que les site web mais aussi les plugins/extension qu'il faudrait signer, mais il me semble que ça a justement déjà fait l'objet d'une communication de Mozilla il y a quelques semaines qui promettait (à vérifier) de signer automatiquement et gratuitement les extensions qui seraient déposer sur leur plateforme.

Il y aussi les applications en général. Par exemple, pendant le développement de Windows 8, Microsoft envisageait d'interdire l'installation d’application non signées sous Windows. Ils ont finalement plus ou moins renoncé, on a quand même le droit à des alerte plein écran qui tente d'empêcher l'installation su soft, sauf à cliquer sur le petit lien pour forcer l'installation.

bonjour, je travail encore un peu , mais je fais du site pour des grandes entreprises donc industriel,
a) ils ne veulent pas de https leurs fournisseurs non pas toujours l'autorisation d'installer un certificat
b) ont ne trimballe pas toujours de la monnaie
c) avec de l'expérience le https n'est pas plus sécurisé qu'autre chose
je m'explique un mot de passe ... est donné pour chaque clients et responsable résultats on arrive vite que le travail prenne le dessus et que les personnes ce prêtes les mots passes
d’où le https !!!!! et le cryptage ... laisse à désiré si ont l'utilise pour cette raison.
d) Https pour donnée bancaire aujourd'hui. OUI Pas de banque, qui si vous êtes une entreprise ou que vous faites couramment vos achat ne vous propose pas de passer par la paiewebcarte ou une clef avec un appareil digit

e) https OUI pour transaction "monnaie" mais si quelqu'un veux vraiment décrypter ???? je me rappel des camions d'espionnage qui écoutaient tous et pour eux ce n'aient pas le https qui vas les arrêter (ici ont joue la parano)

f) qu'ais-je besoin d'un Https pour faire de la consultation ex: developpez.com ou bien un site de commandes dont les marchés sont fermés et dont la marchandise n'arriveras que chez le demandeur et que l'adresse ne peut être enregistré via le web

g) la gratuité du certificats pour le moment je n'ai pas vue cela pour des sites avec plusieurs client lourds ect... seulement pour des trucs simples ou alors s'autocertifié c'est un truc que j'utilise même en clients lourds.

bref fermé la porte au http c'est aussi faire de la parano , un site correct (bon je ne parle pas de firewall ....) impossible de rentrer dedans et quand à la contrefaçon ce n'est pas le https qui vas l'empêcher (qui vas voir ou consulter le certificats certainement pas les utilisateurs en entreprise ils s'en foute complètement pas leurs problème la sécurité (validité du certificats ils ont autre chose à faire. )

je ne suis pas anti https mais pourquoi forcé de prendre un trucs qui nécessiteras des frais et même une PME trouve que c'est chère (mise en place achat du certificats ....)

moi je me dis que c'est un troll si on réfléchie bien c'est débile ... la débilité n'est pas interdite aux informaticiens (avant je le croyais) @bientôt :?:?:?:? :ptdr::ptdr::ptdr::ptdr:

Le but de l'https n'est pas de sécurisé le site ou le serveur web, mais les informations qui transitent entre le client et le serveur.
Sans parler des pirates, sa permettra d'éviter par exemple au gouvernement francais de connaitre les données que l'on envoie/reçoit sur des sites internet, c'est une façon de dire que "je t'emmerde Hollande avec ta loi liberticide" avec en prime l'utilisation d'un vpn polonais :mrgreen:.


Le https n'est qu'une fin en soit, firefox avait publier dans firefiox 34 (mais supprimer dans firefox 34.1 pour cause d'un problème de sécurité) un moyen de crypter les données dans le protocole http.

C"est peut-être leurs intention de proposer des certificats SSL moins cher ou gratuit?!

C'est ce que je pense. Ça doit être en préparation depuis Snowden et comme les états se mettent à légiférer ils se bougent les fesses.

Par contre a priori le HTTPS n'apporte rien de plus, vu que les métadonnées sont toujours là, seul le contenu étant crypté. Après, on s'assure que le contenu ne soit pas écouté "accidentellement".

Citation:

---

Envoyé par sazearte

Le but de l'https n'est pas de sécurisé le site ou le serveur web, mais les informations qui transitent entre le client et le serveur.
Sans parler des pirates, sa permettra d'éviter par exemple au gouvernement francais de connaitre les données que l'on envoie/reçoit sur des sites internet, c'est une façon de dire que "je t'emmerde Hollande avec ta loi liberticide" avec en prime l'utilisation d'un vpn polonais :mrgreen:.


Le https n'est qu'une fin en soit, firefox avait publier dans firefiox 34 (mais supprimer dans firefox 34.1 pour cause d'un problème de sécurité) un moyen de crypter les données dans le protocole http.

---

juste un truc pour continuer la conversation, en France on limite le cryptage 128bit pourquoi parce que le gouvernement peux décrypter donc les machine puissante ils les ont je comprend toujours pas pourquoi https même si ce que tu dis pourrais allez dans ce sens

Citation:

---

Envoyé par JPLAROCHE

juste un truc pour continuer la conversation, en France on limite le cryptage 128bit pourquoi parce que le gouvernement peux décrypter donc les machine puissante ils les ont je comprend toujours pas pourquoi https même si ce que tu dis pourrais allez dans ce sens

---

j'ai pas spécialement envie de re-basculer mes serveur sur des certificats 128 bits hors que j'ai du cryptage en 256

Citation:

---

Envoyé par sazearte

Moi je me suis auto-certifier sur mon serveur dédié, bizarrement on pourrais croire que mon site est un site pirate :mrgreen: (message d'alerte, barre d'adresse rouge...) alors que techniquement mon site et plus sécurisé qu'avec http uniquement.

C'est un peu le monde a l'envers.

---

C'est un peu fort de dire ça.
Le principe de l'auto-certification ce n'est pas de dire : "Je me délivre un certificat à moi-même donc je suis plus sûr qu'avant" => FAUX FAUX ET FAUX.
Partant de ce principe à quoi sert une CA ?

Il ne faut pas tout mélanger.
Désolé ça tombe sur toi mais je suis un peu las de lire des posts de gens qui mélange tout sur les certificats en disant qu'une fois qu'il y en a un c'est la fête à neuneu...

Citation:

---

Envoyé par sazearte

Je pense être bien placer pour te répondre, que NON!!!!

Mon site est en https, je me suis auto certifier, résultat ?
Les navigateurs ont des barre rouges de partout, certain n'affiche même pas le site complétement (opéra), il faut autoriser le js etc..., pour entrer dans mon site faut cliquer sur "Je prend le risque" dans firefox, et enfin la barre de navigation toute rouge, qui n'inspira pas vraiment confiance.

Tu croit sincèrement qu'un utilisateur lambda qui n'y connait rien en info va aller sur mon site ?

---

Je ne vais pas me répéter mais attention ... De l'auto-signé c'est pas du tout rassurant et c'est normal !!!

Citation:

---

Envoyé par Spartacusply

Ben ouais, moi je trouve ça complètement normalement, le principe d'un certificat c'est qu'il soit signé par un tiers de confiance. Si cette condition n'est pas remplie il est complètement normal que le navigateur affiche une alerte à ce sujet puisque seul toi atteste assure que c'est bien toi (super comme garantie !)

---

Voilà :D

Mon bilan sur ce sujet c'est que je pense que Mozilla ne souhaite pas "éradiquer" les sites en HTTP, ni même forcer les utilisateurs à tout passer en HTTPS tout de suite, mais plutôt éduquer la population à comprendre que les sites en HTTP ne sont pas sûrs. Le seuls sites qui peuvent être considérés comme "sûrs" sont ceux qui sont chiffrés avec un certificat délivrés par un tiers de confiance (et pas moi même dans mon garage).

L'idée et l'envie est bonne ! Même très bonne. On ne peut pas reprocher à Mozilla de vouloir sensibiliser et améliorer la sécurité de la navigation de ces utilisateurs.

Pour les fans de la théorie du complot :

Citation:

---

Envoyé par sazearte

En juillet, je crois que mozilla vas sortir un projet proposant de certifier ces site gratuitement, je me rappelle plus du nom, bref coïncidence ?

---

Non ce n'est pas une coïncidence. C'est logique !
C'est normal de proposer une solution associé à la démarche.

@+

JayGr

Citation:

---

Il ne faut pas tout mélanger.
Désolé ça tombe sur toi mais je suis un peu las de lire des posts de gens qui mélange tout sur les certificats en disant qu'une fois qu'il y en a un c'est la fête à neuneu...

---

Si tu as un certificat ssl auto-signé, théoriquement la connexion est crypté, donc plus sécurisé qu'avant avec du simple http.
J'ai dit site internet au lieu de connexion,mais bon on va pas jouer sur les mots.

Citation:

---

Non ce n'est pas une coïncidence. C'est logique !
C'est normal de proposer une solution associé à la démarche.

---

C'était humoristique, évidement que ce n'est pas une coïncidence a 2-3 mois de la sortie du projet.

Citation:

---

j'ai pas spécialement envie de re-basculer mes serveur sur des certificats 128 bits hors que j'ai du cryptage en 256

---

Si le gouvernement me l'ordonnait, je lui répondrais qu'il peut aller se faire mettre ou je pense, et je louerais un serveur a l'étranger si la justice me force la main.

Citation:

---

Envoyé par sazearte

Si tu as un certificat ssl auto-signé, théoriquement la connexion est crypté, donc plus sécurisé qu'avant avec du simple http.
J'ai dit site internet au lieu de connexion,mais bon on va pas jouer sur les mots.

---

Si tu as un certificat SSL auto-signé, tu ne peux pas être sûr que la personne qui a délivré ce certificat est un tiers de confiance et par conséquent, ta connexion à beau être chiffrée (et pas cryptée :mrgreen: -> Je joue sur les mots :mouarf:) ça ne te rassure pas plus sur la sécurité de ta connexion.

Une exemple concret :
Demain si je te propose de te connecter sur un site qui est celui d'un partenaire de ta banque. Ce site est auto-signé. Super !!! C'est un partenaire de ta banque, tu le connais ;). Il te demande tes infos de connexion puisque c'est un partenaire tu fais quoi ? Est-ce que tu penses que tu vas accorder autant confiance à ce certificat puisque finalement tu ne sais pas vraiment qui est derrière.

Enfin (puisque j'aime que les choses soient claires), je te conseille de lire ça : Man in the middle
Et ensuite d'essayer de comprendre le risque associé au certificat auto-signé.
Tu as plein d'infos sur le net. Les certificats auto-signé existent uniquement pour les tests... Le reste c'est 0 sécurité.

Citation:

---

Envoyé par sazearte

C'était humoristique, évidement que ce n'est pas une coïncidence a 2-3 mois de la sortie du projet.

---

J'avais mal compris :). Autant pour moi.

@+

Citation:

---

Si tu as un certificat SSL auto-signé, tu ne peux pas être sûr que la personne qui a délivré ce certificat est un tiers de confiance et par conséquent, ta connexion à beau être chiffrée (et pas cryptée -> Je joue sur les mots ) ça ne te rassure pas plus sur la sécurité de ta connexion.

---

Moi je parle d'un point de vu purement technique, toi de confiance, donc on ne parle pas de ma même chose, mais je suis a 100% d'accord avec toi sur ce que tu dis.

Citation:

---

Demain si je te propose de te connecter sur un site qui est celui d'un partenaire de ta banque.

---

Sa c'est l'exemple extrême, et non je ne ferais pas confiance a ce site bancaire, si developpez.com mais un certificat auto signé, auras tu peur par contre ? car ce n'est qu'un forum, donc a priori tu n'a pas d'information sensible a mettre dessus.

Citation:

---

Envoyé par sazearte

si developpez.com mais un certificat auto signé, auras tu peur ? car ce n'est qu'un forum, donc a priori tu n'a pas d'information sensible a mettre dessus

---

8O 8O
C'est pour ça qu'il est en HTTP. Et pas en HTTPS.
Reste le fait que si je le voyais en auto-signé je me dirais que ce n'est pas professionnel puisque pas sécurisé.

Citation:

---

Envoyé par Saverok

Et du point de vu écologique ?
Le cryptage / décryptage, c'est du temps machine et donc, de la consommation électrique

Alors pour un internaute, même à l'année, c'est peu de chose voir carrément négligeable
Mais à l'échelle mondiale, c'est tout autre chose

Si la généralisation du HTTPS augmente la consommation électrique des datacenter ne serait-ce que de 1%, ça représente quelques mégawatt pour rien.

Par ailleurs, ça serait assez intéressant de constater la perte d'autonomie que ça représenterai sur un mobile...

---

T'as déjà essayé de calculer combien de mégawatts supplémentaires sont consommés pour des milliers de commentaires inutiles sur les pages Web ?
Tiens, rien que sur developpez.net tu fais bouton droit -> code source de la page, et tu vas voir. Tu copie colle sur un optimiseur Web et tu verras que même en version compressée zip ou gz, il y a une différence de 5 %.
Tous les sites Webs sont comme ça : la perte est déjà gigantesque sur plein d'autres points qui ne sont pas - et ne seront sûrement jamais - écologique.
C'est notre système humain de consommation qui veut ça.
On finira tous par mourir à cause de notre propre auto-destruction, mais je ne m'en fais pas : rien ne se perd, rien ne se crée, tout se transforme. Merci Mr Lavoisier !
Et ne pleure pas pour quelques mégawatts, c'est un grain de sable dans une plage de sable blanc !

Citation:

---

tu verras que même en version compressée zip ou gz, il y a une différence de 5 %.

---

J'ai pas compris le rapport entre ça et le commentaire inutile (et j'ai pas compris le coup de gueule aussi...)