IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 554
    Points
    26 554
    Par défaut Dave Winer bat en brèche les arguments de Google qui encouragent l’adoption massive du HTTPS
    Dave Winer bat en brèche les arguments de Google qui encouragent l’adoption massive du HTTPS
    et soutient que les sites HTTP ont encore leur place, qu'en pensez-vous ?

    Depuis quelques années, Google s’est lancé dans un projet de renforcer la sécurité sur la toile en faisant la promotion pour l’adoption du protocole HTTPS par les sites web. Pour cela, l’entreprise a annoncé qu’elle marquerait les sites web qui utilisent le protocole HTTP et collectent les mots de passe et les informations bancaires comme non sécurisés. Toutefois, vu que le passage au HTTPS n’est pas aussi aisé pour tous les sites, la firme de Mountain View a établi un plan d’action dans lequel elle a commencé par indiquer les pages web non sécurisées avec un indicateur neutre.

    Il convient de rappeler que comme inconvénients, Google avance que lorsque les utilisateurs envoient des requêtes pour l’affichage des pages, celles-ci peuvent être interceptées et modifiées avant que les pages du site soient affichées côté client. Ainsi si un utilisateur utilise ces pages non sécurisés pour envoyer des données confidentielles comme des informations de cartes de crédit, ces informations peuvent facilement être dérobées par un acteur malveillant contrairement aux données qui transitent par le protocole HTTPS.

    En outre, au-delà du fait que le protocole HTTPS protège les données des utilisateurs sur les sites web, Google explique également que ce protocole est une exigence pour de nombreux navigateurs modernes et particulièrement pour ceux exécutant les applications web progressives. Pour faciliter l’adoption de protocoles sécurisés, l’autorité de certification, Let’s Encrypt, accorde gratuitement depuis 2015 des certificats pour l’implémentation du protocole TLS sur les sites web.

    Nom : HTTPS-VS-HTTP.png
Affichages : 8618
Taille : 52,5 Ko

    Après avoir attiré l’attention des utilisateurs sur les pages non sécurisées avec un indicateur neutre, Google a annoncé qu’elle marquerait les pages HTTP exécutées en mode Incognito comme non sécurisées dans la barre d’adresse. Par ailleurs, depuis le 1er juillet de cette année, Google a décidé de marquer les pages au format HTTP comme non sécurisées. À terme, l’entreprise envisage de changer l’indicateur de sécurité en affichant un triangle rouge avec la mention « non sécurisé ».

    Toutefois comme les changements ne se font pas en général sans contestation, Dave Winer, un développeur de renom et propriétaire du site scripting.com, désapprouve l’initiative de Google qui promeut une adoption massive du HTTPS au détriment du HTTP et avance plusieurs arguments pour défendre sa position.

    Dave Winer présente les avantages des sites utilisant le protocole HTTP

    Pour Winer, l’adoption du HTTPS risque de rendre inaccessibles les archives disponibles sur le web depuis plusieurs années. Pour mieux se faire comprendre, il explique que dans la plupart des cas, ces archives sont disponibles sur le web pour le grand bonheur de certains utilisateurs, mais ne sont plus maintenues. Cela sous-entend que personne ne pourra faire migrer le protocole actuel de ces pages web vers des protocoles sécurisés. Ainsi, en marquant ce genre de sites comme non sécurisés, cela pousserait les utilisateurs à les fuir. Pour le développeur, la raison pour laquelle il y a autant de diversité, c’est que le web est une chose ouverte, elle n’a jamais appartenu à quelqu’un. Aussi, serait-il convenable que Google n’oblige pas les sites web à adopter le HTTPS en les signalant comme non sécurisés.

    Comme autre argument, Winer soutient que « Google a fait beaucoup d’efforts pour vous convaincre que HTTP n’est pas bon », mais pour lui, « HTTP est la meilleure chose qui soit ». Selon lui, c’est « sa simplicité qui a fait fonctionner le web » et favorisé son explosion, là où les protocoles précédents étaient difficiles à construire. En défendant l’adoption du HTTP, Winer souhaite « que les gens puissent utiliser leurs propres serveurs web plus facilement ». Pour lui, « Google fait ce que la prêtrise de la programmation fait toujours, en construisant la barrière plus haut à l’entrée, en rendant les choses plus compliquées, en se donnant une exclusivité ». « Cela signifie que seuls les super nerds seront en mesure de mettre en place des sites ».

    Nom : http.jpg
Affichages : 6214
Taille : 101,0 Ko

    Et comme conséquence, Winer souligne que « nous allons perdre beaucoup de sites qui ont été rapidement affichés sur un coup de tête, au cours des 25 années d’existence du web, par des personnes qui ne comprenaient pas tout à fait ce qu’elles faisaient. C’est aussi la gloire du web ». Il continue en défendant que « toutes les vues sur le web sont importantes, en particulier celles que les grandes entreprises ne comprennent pas ou ne respectent pas. C’est comme ça que le progrès se passe dans la technologie ». Enfin, écrit-il, « le web est un accord social pour ne pas casser les choses. Cela nous a servi pendant 25 ans. Je ne veux pas l’abandonner parce qu’un groupe de nerds chez Google pense qu’ils le connaissent mieux ».

    Dave Winer bat en brèche les arguments de Google en faveur du HTTPS

    En plus de présenter les avantages du HTTP, Winver s’attaque également à Google et aux avantages du HTTPS soutenus par la firme. Il soutient que « la plupart des sites qu’ils appellent “non sécurisés” ne demandent aucune information à l’utilisateur », mais sont cependant marqués non sécurisés. En agissant ainsi, précise Winer, le simple utilisateur n’ayant aucune idée de la raison pour laquelle cette alerte est affichée risque d’appuyer sur le bouton retour alors que le site ne contient aucune menace. Pour Winer, « c’est le genre de tactique politique désagréable que nous attendons des dirigeants politiques corrompus, et non des entreprises technologiques de premier plan ».

    Il avance également que l’argument de Google selon lequel le HTTP permettrait de mener facilement une attaque de type homme du milieu ne tiendrait pas la route, car même si vous utilisez un protocole sécurisé, ces mêmes attaques peuvent toujours être menées par des tiers malveillants. Enfin, Winer met un point d’honneur sur le fait que bien que Google avance qu’un grand nombre des sites web sont maintenant passés au HTTPS, pour lui, l’entreprise néglige le fait que de nombreux sites qui sont encore au HTTP regorgent d’informations précieuses qui doivent être conservées.

    Après avoir exposé son point de vue sur les pratiques de Google à vouloir faire adopter le HTTPS par tous, Winer, propriétaire du site scripting.com, explique qu’il a reçu un mail de Google lui demandant de « migrer vers HTTPS pour éviter de déclencher le nouvel avertissement sur [son] site et pour aider à protéger les données des utilisateurs ».

    Vu les arguments de Winer, pensez-vous que Google part dans la mauvaise direction ou c’est plutôt Winer qui fait fausse route ?

    Source : This.How

    Et vous ?

    Quel est votre avis sur les arguments présentés par Winer ?

    Google procède-t-il mal en voulant faire passer tout le web au HTTPS ?

    Ou partagez-vous la démarche de Google qui veut sécuriser le web en faisant la promotion du HTTPS ?

    Voir aussi

    Chrome : Google a décidé de marquer tous les sites HTTP comme non sécurisés, la mesure prendra effet au mois de juillet
    Google précise que Chrome commencera à marquer les connexions HTTP comme non sécurisées à partir de fin janvier, et donne plus de détails sur son plan
    Google Chrome va marquer comme « non sécurisés » les sites web en HTTP qui collectent des informations sur des mots de passe
    Firefox se prépare à son tour à marquer les sites en HTTP comme étant non sécurisés, une représentation visuelle est déjà disponible sur la Nightly
    L’EFF se réjouit de l’adoption massive du protocole HTTPS durant l’année 2017 et espère que 2018 sera marquée par la même tendance
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté
    Homme Profil pro
    chomeur
    Inscrit en
    Avril 2015
    Messages
    709
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 79
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : chomeur
    Secteur : Distribution

    Informations forums :
    Inscription : Avril 2015
    Messages : 709
    Points : 1 582
    Points
    1 582
    Par défaut
    Quel est votre avis sur les arguments présentés par Winer ?

    dire que http permet de facilement repérer les information de cb est débile vue les sites qui l'on utilisé durant de longues année pour des transaction sans aucuns problème et il est vrais que tous les sites ne font pas de transaction monétaire développez en est l'exemple. il y a aussi les sites qui ne demande rien a part être vu le mien par exemple.

    Les arguments me semble valide.
    Plus vite encore plus vite toujours plus vite.

  3. #3
    Expert confirmé Avatar de psychadelic
    Profil pro
    Inscrit en
    Mai 2010
    Messages
    2 529
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2010
    Messages : 2 529
    Points : 4 739
    Points
    4 739
    Par défaut
    Je suis à 100% d’accord avec les arguments de Dave Winer.
    D’ailleurs je ne m’explique pas comment Google à pu en arriver à un tel sophisme, ce n’est pas parce qu’un site utilise un certificat SSL que vous êtes en sécurité : les escrocs savent très bien faire des sites de phishing en HTTPS.

    Et bien sur il existe aussi des millions de sites vitrine qui ne demandent aucune information personnelle, n’utilisent pas de cookies, et sans paiement en ligne.

    Autant je comprends que dés qu’il y a un formulaire à remplir sur une page web le navigateur mette un warning pour avertir les utilisateurs d’un risque, et cela me semble bien plus pédagogique.

    Mais mettre des indicateurs en rouge partout si un site n’est pas en HTTPS, finira à la longue par être contre productif, les internautes finiront par en minimiser l’importance. On connais tous l’histoire*: à force de trop crier au Loup.. fable d’Ésope) , sauf chez Google, visiblement.
    «La pluralité des voix n'est pas une preuve, pour les vérités malaisées à découvrir, tant il est bien plus vraisemblable qu'un homme seul les ait rencontrées que tout un peuple.» [ René Descartes ] - Discours de la méthode

  4. #4
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    Juin 2014
    Messages
    29
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juin 2014
    Messages : 29
    Points : 173
    Points
    173
    Par défaut
    Il a carrément raison ce type. C'est effectivement la pédagogie qu'il faudrait mettre en avant.

  5. #5
    Membre expert
    Profil pro
    undef
    Inscrit en
    Février 2013
    Messages
    957
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : Février 2013
    Messages : 957
    Points : 3 523
    Points
    3 523
    Par défaut
    Plutôt de l'avis de Dave, le http est largement suffisant, la plupart des sites commerciaux redirigent leur clients vers une interface de banque ayant leur propre méthode de sécurisation de transaction quand il s'agit de payer. Le https ressemble plus à un moyen de fermer le web. La meilleure sécurité pour un site c'est de ne pas implémenter de formulaire, de ne pas utiliser de javascript et d'utiliser au minimum les balises img frame embed...

  6. #6
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par melka one Voir le message
    dire que http permet de facilement repérer les information de cb est débile vue les sites qui l'on utilisé durant de longues année pour des transaction sans aucuns problème et il est vrais que tous les sites ne font pas de transaction monétaire développez en est l'exemple. il y a aussi les sites qui ne demande rien a part être vu le mien par exemple.
    Envoyer tes informations bancaires sur un site n'utilisant pas HTTPS est dangereux, ça signifie que ces informations vont circuler sur le réseau en clair et seront lisibles par tous les noeuds par lesquels elles vont passer. Développez ne demande pas d'informations bancaires mais il y a un système d'identification et des données personnelles transitent, comme ton mot de passe qui peut être sensible. Je t'invite à te renseigner sur comment fonctionne internet et ainsi te rendre compte de l'importance de HTTPS.

    Après il est clair que dans certains cas HTTPS est en effet superflu, dès qu'il n'y a pas de transfert de données en gros. Un blog sans commentaires est un bon exemple, un site purement vitrine (et encore il y a souvent un formulaire de contact) en est un autre. Il faut toutefois reconnaître que ces sites sont de plus en plus rares de nos jours, et si la généralisation de la sécurité permet à Mme Michu d'éviter les pièges les plus grossiers, comme par exemple sur les réseaux wifi publics, c'est un faible coût à payer.

    Là où je suis d'accord avec le billet c'est que Google "décide" unilatéralement de dire HTTP = mal et c'est un peu dangereux, même si dans le cadre de cette mesure je pense que l'effet est globalement positif.

  7. #7
    Membre expérimenté
    Homme Profil pro
    chomeur
    Inscrit en
    Avril 2015
    Messages
    709
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 79
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : chomeur
    Secteur : Distribution

    Informations forums :
    Inscription : Avril 2015
    Messages : 709
    Points : 1 582
    Points
    1 582
    Par défaut
    pour les donné personnels pas besoin de pirate elles sont détenu par les sites et rien ne leurs empêche de les diffuser ou les vendre.

    vive la rgpd.
    Plus vite encore plus vite toujours plus vite.

  8. #8
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par melka one Voir le message
    pour les donné personnels pas besoin de pirate elles sont détenu par les sites et rien ne leurs empêche de les diffuser ou les vendre.

    vive la rgpd.

    Beaucoup de sites avec un système d'inscription ne vendent pas les infos personnelles, je pense que Dvp est un bon exemple (enfin je ne crois pas qu'ils vendent nos données) Personnellement j'ai une petite appli non commerciale qui nécessite de se connecter donc j'utilise HTTPS même si c'est pour moins de 5000 comptes et que je ne collecte que email (comme login et pour ne pas perdre accès à son compte) et mot de passe. J'ai même activé le chiffrement du disque dur hébergeant tout ce petit monde

    Par contre oui, vive la RGDP qui est un pas dans le bon sens.

  9. #9
    Rédacteur/Modérateur

    Avatar de bouye
    Homme Profil pro
    Information Technologies Specialist (Scientific Computing)
    Inscrit en
    Août 2005
    Messages
    6 838
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Information Technologies Specialist (Scientific Computing)
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : Août 2005
    Messages : 6 838
    Points : 22 846
    Points
    22 846
    Billets dans le blog
    51
    Par défaut
    l’argument de Google selon lequel le HTTP permettrait de mener facilement une attaque de type homme du milieu ne tiendrait pas la route, car même si vous utilisez un protocole sécurisé, ces mêmes attaques peuvent toujours être menées par des tiers malveillants.
    Et encore si ce n’était que des tiers malveillants... notre boite paie un gestionnaire de sécurité qui fait exactement ça : un remplacement au vol des certificats des sites... Autant ça passe avec les principaux navigateurs (IE, Edge, Chrome - beaucoup moins avec Firefox), autant ça passe mal avec la plupart des outils de dev tiers ce qui nous oblige soit a mettre en place des tas de site dans des whitelists ou soit a désactiver (quant c'est possible) la gestion des certificats dans ces mêmes outils ce qui finalement affaiblie complètement la sécurité de l'ensemble...
    Merci de penser au tag quand une réponse a été apportée à votre question. Aucune réponse ne sera donnée à des messages privés portant sur des questions d'ordre technique. Les forums sont là pour que vous y postiez publiquement vos problèmes.

    suivez mon blog sur Développez.

    Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning. ~ Rich Cook

  10. #10
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2007
    Messages
    884
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juillet 2007
    Messages : 884
    Points : 2 018
    Points
    2 018
    Par défaut
    C'est l'argumentaire de la NSA ce qu'il dis. C'est simple pour n'importe quel développeur de mettre en place HTTPS surtout comparé au RGPD et autres lois françaises. Et surtout Google ne déréférence pas HTTP. Le seul point négatif c'est la lenteur pour de faible connections internet pour les sites qui redirigent automatiquemet vers HTTPS...
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  11. #11
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Eh bien, cela faisait longtemps que je n'avais pas lu de telles bêtises.

    Citation Envoyé par Olivier Famien Voir le message
    Pour Winer, l’adoption du HTTPS risque de rendre inaccessibles les archives disponibles sur le web depuis plusieurs années.
    Si le site web est hébergés par un tiers (e.g. OVH, etc.) le passage à HTTPS se fera généralement de façon transparente.

    Si le site web est auto-hébergé sur un serveur qui n'est plus maintenu/mis à jour... autant l'arrêter pour la sécurité de tous.

    Citation Envoyé par Olivier Famien Voir le message
    Pour le développeur, la raison pour laquelle il y a autant de diversité, c’est que le web est une chose ouverte, elle n’a jamais appartenu à quelqu’un. Aussi, serait-il convenable que Google n’oblige pas les sites web à adopter le HTTPS en les signalant comme non sécurisés.
    On parle ici de la sécurité, comme on va vérifier la validité des certificats, la version de TLS, etc.


    Citation Envoyé par Olivier Famien Voir le message
    Comme autre argument, Winer soutient que « Google a fait beaucoup d’efforts pour vous convaincre que HTTP n’est pas bon », mais pour lui, « HTTP est la meilleure chose qui soit ». Selon lui, c’est « sa simplicité qui a fait fonctionner le web » et favorisé son explosion, là où les protocoles précédents étaient difficiles à construire.
    Parce que HTTPS, c'est quoi pour lui ? .

    Citation Envoyé par Olivier Famien Voir le message
    En défendant l’adoption du HTTP, Winer souhaite « que les gens puissent utiliser leurs propres serveurs web plus facilement ». Pour lui, « Google fait ce que la prêtrise de la programmation fait toujours, en construisant la barrière plus haut à l’entrée, en rendant les choses plus compliquées, en se donnant une exclusivité ». « Cela signifie que seuls les super nerds seront en mesure de mettre en place des sites ».
    Déjà pour des hébergements par des tiers (e.g. OVH), cela n'a aucun surcoût.
    Pour de l'auto-hébergement, avec Let's Encrypt, c'est franchement pas ce qu'il y a de plus compliqué et coûteux...

    Citation Envoyé par Olivier Famien Voir le message
    Et comme conséquence, Winer souligne que « nous allons perdre beaucoup de sites qui ont été rapidement affichés sur un coup de tête, au cours des 25 années d’existence du web, par des personnes qui ne comprenaient pas tout à fait ce qu’elles faisaient. C’est aussi la gloire du web ». Il continue en défendant que « toutes les vues sur le web sont importantes, en particulier celles que les grandes entreprises ne comprennent pas ou ne respectent pas. C’est comme ça que le progrès se passe dans la technologie ». Enfin, écrit-il, « le web est un accord social pour ne pas casser les choses. Cela nous a servi pendant 25 ans. Je ne veux pas l’abandonner parce qu’un groupe de nerds chez Google pense qu’ils le connaissent mieux ».
    Au moins le groupe de nerds chez Google savent faire une redirection HTTP->HTTPS... et ont un minimum de connaissances en ce qui concerne la sécurité informatique...


    Citation Envoyé par Olivier Famien Voir le message
    En plus de présenter les avantages du HTTP, Winver s’attaque également à Google et aux avantages du HTTPS soutenus par la firme. Il soutient que « la plupart des sites qu’ils appellent “non sécurisés” ne demandent aucune information à l’utilisateur », mais sont cependant marqués non sécurisés.
    Et ?
    Pour rappel HTTP ne permet pas seulement d'écouter les communications, mais aussi de les modifier... donc de rajouter des scripts, ou des champs... ou de modifier des informations.

    Citation Envoyé par Olivier Famien Voir le message
    En agissant ainsi, précise Winer, le simple utilisateur n’ayant aucune idée de la raison pour laquelle cette alerte est affichée risque d’appuyer sur le bouton retour alors que le site ne contient aucune menace.
    Quid de la protection de la vie privée ?

    Citation Envoyé par Olivier Famien Voir le message
    Pour Winer, « c’est le genre de tactique politique désagréable que nous attendons des dirigeants politiques corrompus, et non des entreprises technologiques de premier plan  développeurs de renoms».
    Citation Envoyé par Olivier Famien Voir le message
    Il avance également que l’argument de Google selon lequel le HTTP permettrait de mener facilement une attaque de type homme du milieu ne tiendrait pas la route, car même si vous utilisez un protocole sécurisé, ces mêmes attaques peuvent toujours être menées par des tiers malveillants.
    Et bien qu'il fasse une publication scientifique pour dire comment il casse TLS, ça m'intéresse au plus haut point.


    Citation Envoyé par Olivier Famien Voir le message
    Enfin, Winer met un point d’honneur sur le fait que bien que Google avance qu’un grand nombre des sites web sont maintenant passés au HTTPS, pour lui, l’entreprise néglige le fait que de nombreux sites qui sont encore au HTTP regorgent d’informations précieuses qui doivent être conservées.
    Et bien qu'ils fassent une redirection HTTP->HTTPS...

    Ou consulte le site via un site d'archive...


    Citation Envoyé par psychadelic Voir le message
    D’ailleurs je ne m’explique pas comment Google à pu en arriver à un tel sophisme, ce n’est pas parce qu’un site utilise un certificat SSL que vous êtes en sécurité : les escrocs savent très bien faire des sites de phishing en HTTPS.
    C'est l'inverse.

    Google ne dit pas qu'on est totalement en sécurité avec HTTPS, mais qu'on ne l'est pas avec HTTP.
    Comme le fait d'avoir l'air bag n'empêche pas de mettre la ceinture. Ne pas mettre la ceinture, ce n'est pas sûr, mais ce n'est pas pour autant qu'avec la ceinture on est forcément en sécurité (e.g. sans air bag).

  12. #12
    Membre à l'essai
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    Juillet 2018
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur sécurité

    Informations forums :
    Inscription : Juillet 2018
    Messages : 4
    Points : 20
    Points
    20
    Par défaut
    J'ai crée ce compte pour appuyer Neckara, incroyable de lire des choses comme ça et encore plus de lire les commentaires qui approuvent ça, sur un site de développeurs ! Je sais que la sécurité ça vous fait chier mais quand même ! J'ai même pensé qu'on était le premier Avril ou qu'on était Vendredi...

  13. #13
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par melka one Voir le message
    dire que http permet de facilement repérer les information de cb est débile vue les sites qui l'on utilisé durant de longues année pour des transaction sans aucuns problème et il est vrais que tous les sites ne font pas de transaction monétaire développez en est l'exemple. il y a aussi les sites qui ne demande rien a part être vu le mien par exemple.
    Même quand le https sur l'intégralité du site n'était pas la norme, tous les sites proposant des transactions bancaires utilisaient heureusement déjà le https pour celles ci, sinon aucune banque n'aurait accepté les transactions par internet.

    Citation Envoyé par psychadelic Voir le message
    Je suis à 100% d’accord avec les arguments de Dave Winer.
    D’ailleurs je ne m’explique pas comment Google à pu en arriver à un tel sophisme, ce n’est pas parce qu’un site utilise un certificat SSL que vous êtes en sécurité : les escrocs savent très bien faire des sites de phishing en HTTPS.
    Il faut différencier escroc et pirate. https ne protège en effet pas de l’escroquerie, par contre il garantit que personne ne peut intercepter le message entre vous et le site auquel auquel vous vous connectez.

    Citation Envoyé par UduDream Voir le message
    Il a carrément raison ce type. C'est effectivement la pédagogie qu'il faudrait mettre en avant.
    La pédagogie dans l'informatique, et plus particulièrement sur internet, on a essayé et on essaye encore, depuis très très longtemps. On sait bien que la plupart du temps, ça ne marche pas du tout.

    Citation Envoyé par 23JFK Voir le message
    La meilleure sécurité pour un site c'est de ne pas implémenter de formulaire, de ne pas utiliser de javascript et d'utiliser au minimum les balises img frame embed...
    En effet, le genre de site déjà très rare aux débuts du web. Alors aujourd'hui, autant dire que c'est une espèce quasi disparue.

    Citation Envoyé par melka one Voir le message
    pour les donné personnels pas besoin de pirate elles sont détenu par les sites et rien ne leurs empêche de les diffuser ou les vendre.
    En effet, aucune technologie ne peut empêcher une société de ne pas utiliser les informations que tu lui donne. Tu es censé faire confiance au site auquel tu confie tes informations et https te garantit qu'un tiers ne pourra pas les intercepter.

    Quant a l'argument de conservation de l'existant, il me parait assez douteux. Une personne qui n'entretient plus son site ne va probablement pas continuer a entretenir le serveur, a moins que ce contenu soit géré par un hébergeur qui pourra s'occuper lui même de la migration.

  14. #14
    Membre averti
    Homme Profil pro
    Étudiant
    Inscrit en
    Juin 2014
    Messages
    54
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juin 2014
    Messages : 54
    Points : 328
    Points
    328
    Par défaut
    Je vois beaucoup de réponses qui défendent le point de vue de Dave Winer en disant que s'il n'y a pas de transaction par CB, y a pas besoin de HTTPS. Je n'ai jamais entendu de réponses aussi stupides.

    Le HTTPS permet de sécuriser TOUTES les informations entre un client et le serveur. Cela va de bien sûr des numéros de CB mais aussi des identifiants et mots de passe. Le HTTPS permet aussi de protéger une page web de toute modification pendant le transfert (et oui, le HTTPS "interdit" les FAI de mettre de la pub forcée sur les pages web).

    Certes le HTTPS ne permet pas d'avoir un sécurité à 100% à cause du risque humain (car il n'interdit pas les naifs de se faire avoir par le phishing). Mais le HTTPS augmente un peu plus la sécurité de tous. Je rejoins Dave Winer sur le seul fait que marquer des vieux sites non maintenu comme dangereux est dommageable. Mais maintenant, si on ne sait pas mettre un certificat SSL quand on monte un serveur, faudrait penser à se couper d'internet (je parle pour ceux qui montent des serveurs, pas de ceux qui utilisent du mutualisé (eux peuvent mettre du HTTPS encore plus facilement)).

    Citation Envoyé par 23JFK Voir le message
    Plutôt de l'avis de Dave, le http est largement suffisant, la plupart des sites commerciaux redirigent leur clients vers une interface de banque ayant leur propre méthode de sécurisation de transaction quand il s'agit de payer. Le https ressemble plus à un moyen de fermer le web.
    Champion ! TU proposes toi-même un moyen de fermer internet: centraliser toutes les transactions. Ce qui est plus dangereux que le HTTPS.

    Citation Envoyé par 23JFK Voir le message
    La meilleure sécurité pour un site c'est de ne pas implémenter de formulaire, de ne pas utiliser de javascript et d'utiliser au minimum les balises img frame embed...
    Nom de Zeus, marty ! Il faut retourner en 1996 pour la sécurité de tous.

  15. #15
    Membre expérimenté
    Homme Profil pro
    chomeur
    Inscrit en
    Avril 2015
    Messages
    709
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 79
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : chomeur
    Secteur : Distribution

    Informations forums :
    Inscription : Avril 2015
    Messages : 709
    Points : 1 582
    Points
    1 582
    Par défaut
    il n'est pas dit que https sert a rien mais qu'il faut arrêter de faire peur au internautes parce qu'un site n'est pas en https il n'y a pas que des sites commercial.
    Plus vite encore plus vite toujours plus vite.

  16. #16
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Citation Envoyé par melka one Voir le message
    il n'est pas dit que https sert a rien mais qu'il faut arrêter de faire peur au internautes parce qu'un site n'est pas en https il n'y a pas que des sites commercial.
    Comme nous l'avons déjà fait remarquer, l'HTTPS ne sert pas uniquement pour les sites commerciaux...

  17. #17
    Membre expérimenté
    Homme Profil pro
    chomeur
    Inscrit en
    Avril 2015
    Messages
    709
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 79
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : chomeur
    Secteur : Distribution

    Informations forums :
    Inscription : Avril 2015
    Messages : 709
    Points : 1 582
    Points
    1 582
    Par défaut
    tout a fait
    Plus vite encore plus vite toujours plus vite.

  18. #18
    Membre expert
    Profil pro
    undef
    Inscrit en
    Février 2013
    Messages
    957
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : Février 2013
    Messages : 957
    Points : 3 523
    Points
    3 523
    Par défaut
    Citation Envoyé par intelligide Voir le message



    Champion ! TU proposes toi-même un moyen de fermer internet: centraliser toutes les transactions. Ce qui est plus dangereux que le HTTPS.



    Nom de Zeus, marty ! Il faut retourner en 1996 pour la sécurité de tous.
    Être obliger de faire valider son site par un tiers est le plus sùr moyen de fermer/privatiser un réseau.

    Quand on voit, à longueur de site, la merde que sert à produire le javascript : oui retourner au basic n'aurait rien de rétrograde.

    Il va de soit que je ne dis pas que le https est toujours inutile, cependant son intérêt se limite à la couche commerciale du net, les autres sites n'ont rien à y gagner, les hackers contemporains ne s'intéressant qu'à ce qui est susceptible de apporter du fric.

    Tu oublies par ailleurs, que si les navigateurs pour une raison ou une autre ne sont pas en mesure de valider le protocole https (couche de cryptage obsolète ou non implémentée, clés obsolètes, le site ne peut plus être consulté.

  19. #19
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    Juin 2014
    Messages
    29
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juin 2014
    Messages : 29
    Points : 173
    Points
    173
    Par défaut
    Ce qui me dérange le plus dans cette histoire c'est que google prend en compte de plus en plus de paramètres pour faire son référencement qui sont indépendant du contenu : HTTPS, mobile friendly. Je n'ai pas de smartphone, je vais sur le net qu'avec mon PC. Alors vous me pardonnerez l'expression, mais j'en ai rien a battre qu'il soit mobile friendly. Pareil, pour faire de la simple consultation d'un site, qu'il soit pas en https m'est égale. Le problème, c'est qu'on va me mettre en avant des sites mobile friendly et en https, quitte à me proposer un site au contenu creux. J'ai peur que la démarche actuelle de google à vouloir imposer certains standards web (à tord ou à raison) nuisent à la qualité des résultat vis à vis du contenu.

  20. #20
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Citation Envoyé par 23JFK Voir le message
    Être obliger de faire valider son site par un tiers est le plus sùr moyen de fermer/privatiser un réseau.
    Avec Let's Encrypt, tout le monde peut avoir un certificat gratuit. Je ne comprends donc pas trop le sens de ta remarque.
    Sachant que rien n'empêche de proposer d'autres CA.

    Citation Envoyé par 23JFK Voir le message
    Il va de soit que je ne dis pas que le https est toujours inutile, cependant son intérêt se limite à la couche commerciale du net, les autres sites n'ont rien à y gagner, les hackers contemporains ne s'intéressant qu'à ce qui est susceptible de apporter du fric.
    N'importe quoi.

    Déjà, il n'y a pas que l'argent comme motivation. On peut avoir, entre autre, des motivations politiques/militantes/idéologiques.

    Ensuite, les sites commerciaux ne sont pas les seuls à pouvoir rapporter de l'argent :
    • site de téléchargement: ajouter un virus pour se constituer puis louer un réseau de botnet.
    • site de journaux: ajouter de la fausse information.
    • site "normal": l'utiliser comme site de phishing temporaire.


    Citation Envoyé par 23JFK Voir le message
    Tu oublies par ailleurs, que si les navigateurs pour une raison ou une autre ne sont pas en mesure de valider le protocole https (couche de cryptage obsolète ou non implémentée, clés obsolètes, le site ne peut plus être consulté.
    Chiffrement*.

    Ensuite, oui, si le protocole de chiffrement ou les clés sont obsolètes, cela reviendrait presque à se retrouver soit avec une communication en clair, soit à un certificat non-signé...

Discussions similaires

  1. [débutant] problème avec les arguments de fopen
    Par Anouschka dans le forum C++
    Réponses: 13
    Dernier message: 23/02/2006, 15h56
  2. [Apis]parser les arguments d'un programme Java
    Par sacofan dans le forum API standards et tierces
    Réponses: 4
    Dernier message: 06/08/2005, 15h32
  3. Comment passer les arguments à un script perl
    Par belgampaul dans le forum Langage
    Réponses: 4
    Dernier message: 06/08/2005, 13h52
  4. fonction dont les argument sont dans un dico
    Par GConstant dans le forum Général Python
    Réponses: 1
    Dernier message: 12/08/2004, 19h24
  5. Réponses: 4
    Dernier message: 09/02/2004, 17h19

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo