Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Je ne connais pas au jour d'aujourd'hui un site d'information qui ne soit pas commercial.Envoyé par Neckara
Https ne protège pas des virus, il permet juste de savoir évenuellement quel site l'a refilé, ce qui ne sert pas à grand chose vu qu'il est peu probable qu'un pekin lambda aille porter plainte contre le site.
Je ne sais pas, DVP par exemple (qui n'est pas qu'un forum en .net, mais aussi un site en .com) ?
Sinon rien à voir, mais "au jour d'aujourd'hui", c'est mal... C'est un pléonasme et considéré comme un emploi fautif par l'Académie Française. Je tenais à le repréciser, si cela peut éviter à certains de se rendre ridicule devant des collègues, la hiérarchie, ou des clients.
Et ?
HTTPS protège l'origine et l'intégrité des données...
Je te parle d'injection sur une communication HTTP... voire de modification du site s'il dispose d'une interface d'administration.
Pourquoi devriez-vous faire migrer vos sites statiques de HTTP vers HTTPS ?
Pourquoi devriez-vous faire migrer vos sites statiques de HTTP vers HTTPS ?
Voici les raisons avancées par un expert en sécurité Web
En mai dernier, Google avait annoncé comment l’adoption par défaut de HTTPS en lieu et place de HTTP se ferait sur son navigateur Chrome. On apprenait donc que Chrome n’allait bientôt plus afficher le label « Sécurisé » pour les sites HTTPS. Au lieu de ça, le navigateur estampillera systématiquement tous les sites HTTP comme étant non sécurisés. Cette modification traduit les efforts constants de Google depuis plusieurs années pour faire passer Internet sous HTTPS. Le moins que l’on puisse dire, c’est que cette préoccupation qui amène l’entreprise à vouloir sécuriser Internet est partagée par plus d’un. Troy Hunt, un éminent expert australien connu pour ses activités de sensibilisation sur des sujets liés à la sécurité, fait partie de ceux qui, comme Google, estiment que la migration vers HTTPS est plus que nécessaire.
En effet, déjà en janvier dernier, l’expert australien avait expliqué que l’adoption de HTTPS avait dépassé le « point de basculement » et « deviendrait très prochainement la norme ». Ses dires semblent réellement se vérifier puisque depuis janvier, le pourcentage de pages Web chargées sur HTTPS est passé de 52 % à 71 %. La proportion du million de sites le plus important du monde redirigeant les utilisateurs vers HTTPS serait également passée de 20 % à presque 50 %.
Cette adoption générale plutôt rapide a été motivée par la recrudescence d’avertissements sur les navigateurs (Chrome et Firefox, principalement), des certificats plus facilement accessibles et une prise de conscience grandissante des internautes concernant les risques inhérents à la navigation non sécurisée. S’intéressant au cas des sites Web statiques, l’expert australien s’est attelé à répondre aux nombreuses questions qui se posaient çà et là sur la pertinence d’employer une connexion HTTPS pour ce type de sites.
Afin donc de démontrer que même les sites statiques ont besoin de HTTPS, il a patiemment attendu de recevoir une invitation à essayer de hacker un site statique qui, selon son administrateur, est à l'abri des risques inhérents à http sans pour autant utiliser le protocole HTTPS, mais il en a reçu une autre à la place. Celle d’intercepter le trafic transmis via une connexion non sécurisée de son propre site afin d’expliquer la nécessité de sécuriser aussi les sites statiques.
C’est donc ce qu’il a fait. Il a intercepté son propre trafic et assemblé une série de démos dans une vidéo de 24 minutes expliquant pourquoi HTTPS est nécessaire sur les sites Web statiques. Il a donc mené une attaque sur son propre trafic prouvant ainsi encore plus le caractère insécurisé des sites HTTP. Il a employé comme point d’accès sans fil, un petit équipement (le WiFi Pineapple) pour inciter les appareils à le considérer comme un point d'accès connu auquel ils peuvent se connecter automatiquement sans intervention de l’utilisateur.
Il a également montré que les sites http sont vulnérables face aux tentatives de détournement de DNS. Pour preuve, l’expert australien en a exécuté un juste avec quelques lignes de FiddlerScript, une des fonctionnalités les plus puissantes de Fiddler (une application de serveur proxy de débogage HTTP) qui permet d’améliorer l’interface utilisateur de Fiddler, d’ajouter de nouvelles fonctionnalités et de modifier les requêtes et les réponses « à la volée » pour introduire tout comportement souhaité.
Ainsi, il a donc pu générer un trafic provenant d'une adresse totalement différente à partir du trafic allant à une adresse non sécurisée. Troy Hunt a remarqué que le même résultat pouvait être obtenu en utilisant DNSspoof. Il a également remarqué que ce même résultat peut encore être obtenu grâce à une attaque CSRF contre un routeur.
Les avis des internautes sur la question semblent assez hétéroclites. Quatre grands courants de pensée se dégagent des rangs des détracteurs de la migration vers HTTPS. Il y a ceux qui voient derrière HTTPS un complot pensé par les géants d’Internet avec à leur tête Google ; ceux qui, malgré la possibilité d’obtenir des certificats gratuits via Let’s Encrypt et Cloudflare, trouvent que la migration vers HTTPS coûte « trop cher » ; ceux qui trouvent que l’implémentation du protocole HTTPS est trop compliquée et trop chronophage ; et enfin ceux qui pensent qu’il n’y a aucun intérêt à adopter un protocole de sécurité qui ne peut pas garantir une protection parfaite et impénétrable à 100 % 24/7.
Source : Billet de blog
Et vous ?
Qu’en pensez-vous ?
Voir aussi
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Google & co vont nous faire le même coup qu'avec Map, gratuit jusqu'au jour ou il faudra payer un bras pour continuer à avoir accès au service.
Pourquoi y a besoin d'une service de certification ? Il suffit juste que le site donne à l'utilisateur la clé publique et ensuite quand l'utilisateur (le navigateur donc) dialogue avec le site, celui-ci utilise la clé privée pour retrouver es informations en clair et "amorcer" ensuite un dialogue en clé symétrique ?
Ce n'est pas suffisant, il faut pouvoir garantir que la clé publique que l'utilisateur reçoit appartient bien au site visité, ce qui n'est possible que via une autorité certifiante.
Pour éviter l'attaque "Man In The Middle" je suppose
En somme, on en revient à l'époque de Jane Austen (https://fr.wikipedia.org/wiki/Jane_Austen) quand deux personnes de la bonne société ne pouvaient pas entrer en conversation l'une avec l'autre avant d'avoir été présentées par une troisième de confiance (lire à ce sujet Northanger Abbey). Évidemment, c'est avec beaucoup d'ironie que la célèbre romancière évoque cette règle si souvent violée.
Sinon la solution est d'identifier/désigner l'interlocuteur par sa clé publique.
C'est à dire qu'on ne parle pas, e.g. à google.com, mais à, e.g., 0x123456789ABCDEF.
la consommation énergétique des data center est déjà un problème, là on ferait de la surqualité nullissime à tous les niveaux
1) plus de boulot = plus de latence = moins d'ergonomie pour le visiteur
2) plus de boulot = plus de puissance = plus de couts et une consommation d’énergie très supérieure. Toutes les études que j'ai pu lire dans ce domaine parlent en gros de 50% de plus, c'est collosal à l'echelle de la bulle internet qui représentait déjà en 2013 une consommation d'énergie au niveau mondial qui, si c’était un pays, l'aurait placé en 3ieme position juste derrière les US et la Chine.
3) plus de boulot = plus de serveurs = surcout d’énergie encore une fois mais lié à la production de ces serveurs.
Bref, inutile donc stupide. Peu efficient donc dangereux.
Les conversations seraient plus élégantes sans les 'bananes', les 'faut pas déconner' etc
Hello,
A vous lire, on se demande qui est expert en quoi ?
Tout peut se dire avec élégance et respect.
En tout état de cause, la sécurité qu'elle soit informatique ou autre demande un travail sans fin et ne se suffit pas des convictions des uns et des autres.
Affirmer que le HTTPS est plus sécure que le HTTP, certainement.
En faire une doctrine absolue, certainement pas, ce qui devrait rendre chacun d'entre nous un peu plus humble devant nos 'in-certitudes' qui sont faites, par essence, pour s'adapter et changer dans le temps.
Donc refaites votre débat dans 10 ans et nous en reparlerons !
Bonne journée les petits.. et les grands loups...
Souvenez vous de l'histoire des 3 petits cochons... et du cyclone 'IRMA' !!!!
Ou des trous noirs supers massifs qui sont passés de 'rares' à 'il en existe au moins un dans chaque galaxie'.
Les certitudes sont les cancers de la pensée...elles la tuent !!!!
Justement perso avant d’être développeur je suis "expert" en performance énergétique.
L'énergie ça sert à faire quelque chose. dit à l'envers :tout ce que l'on fait demande de l’énergie et donc demande de la réflexion (pensée hic) sur la valeur ajoutée que l'on souhaite créer, ce qui justifie vraiment de dépenser de l'énergie.
Imposer que le site vitrine du coiffeur de la rue du port soit en HTTPS coûte (à tous les points de vue mais je vois surtout celui énergétique) mais n'apporte pas la moindre valeur ajoutée, en sécurité comme en quoi que ce soit d'autre.
Pire que cela, cela fait mécaniquement perdre en réactivité le site et donc baisse la qualité de l'expérience utilisateur, seule vraie valeur ajoutée du site en question...
C'est à se demander si le HTTPS n'est pas pour ces GAFA un bon moyen de camoufler tout ce qu'ils vont pomper comme infos, ou en tous cas un intérêt pour eux exclusivement. Parce que sinon il faudra m'expliquer quel risque encours le visiteur du site du coiffeur de la rue du port. OK, un pirate peut se faire passer pour le coiffeur et affirmer que la boutique ferme à 17h au lieu de 18h, c'est vrai... peu probable et oh combien sans gravité. La surconsommation (y compris l’énergie grise pour fabriquer les machines) a quand a elle un impact certain et permanent.
Pour la latence... franchement ce qui prends le plus de temps, c'est généralement la limite des navigateurs quant au nombre de connexions simultanées ouvertes en même temps.
Sur une connexion HTTPS, on est de l'ordre de la millisecondes, c'est invisible pour l'utilisateur.
Pourquoi inutile ?
Non consequitur.
Ton coiffeur ne va pas auto-héberger son propre serveur... aujourd'hui HTTPS est totalement transparent, car géré par l'hébergeur.
C'est marrant, j'ai un site HTTPS qui se charge en 1/4 de secondes pour la première page, et est instantanée pour les autres.
Les données envoyées/reçues seront toujours visibles en local pour peu qu'on souhaite les voir, donc cela ne camoufle rien quant aux données qu'ils pompes.C'est à se demander si le HTTPS n'est pas pour ces GAFA un bon moyen de camoufler tout ce qu'ils vont pomper comme infos
De plus, si le but est de protéger les infos... mieux vaut utiliser HTTPS que HTTP et les balancer en clair
- installer un faux module de payement ;
- insérer des phrases du type : "on ne coiffe pas les juifs" ;
- insérer des conseils dangereux : "pour votre shampoing, mélanger du sodium pur dans l'eau".
- défacer le site pour insérer des spams : "enlarge your ponytail".
Pour les machines, cela demande une augmentation de combien de % du "nombre" de serveurs ou de ses capacités ?
Après, je pense qu'on aura aussi fort à faire avec le coût des blockchains, la publicité/trackers, dimensionnement des images, streaming, etc.
Je n'ai pas le temps de développer mais en gros il faut compter 50% pour la même chose en HTTPS plutôt que HTTP
ça ce n'est pas "Non consequitur". Apparemment vous ne vous êtes pas encore interrogé sur les questions de l'énergie et je vous rassure vous n'êtes pas le seul.Peu efficient donc dangereux
Tout ce que l'on fait demande de l'énergie (principe assez basique de physique). Tout ce que l'on fait d'inutile consomme donc inutilement de l'énergie. or l'énergie (que va consommer un serveur ou que va consommer la fabrication et la gestion de la vie de ce serveur et des ses composants) on la prélève à la nature d'une manière ou d'une autre et cela a des conséquences pour notre planète et par voie de conséquence pour nous. C'est donc bien dangereux. Le HTTPS du site du coiffeur n'est pas un détail, c'est un des grammes qui font la tonne.
Après la question de ce qui est inutile ou pas est un autre débat mais dans l'exemple, tout ce qui va alourdir les échanges entre un client et son serveur aura un coût pour la planète totalement inutile si le HTTPS n'est pas justifié.
Et comme vous le dites ça s'applique à beaucoup de choses.
Par exemple : Écouter de la musique sur Youtube c'est du HTTPS (inutilement, sans doute uniquement parce que sinon on dirait oha youtube ils sont pas https) mais le problème n'est pas le HTTPS ici, c'est d'héberger et faire transiter sur le réseau un énorme flux vidéo (très souvent une image fixe) alors que l'on est là pour écouter un minuscule flux audio.
Rendez vous en retard..
C'est pas parce qu'avec un bon serveur c'est pas trop génant que ca n'implique pas beaucoup plus d'infrastructure. un site HTTP ca tourne sur un microcontrôleur 8bit à 8MHz qui consomme 5mW, du HTTPS sur une telle machine c'est inenvisageable.
et en plus c'est faux, il y a plusieurs échanges en HTTPS, qui chacuns sont plus longs que ça
en quoi que ce soit autohebergé ou hébergé par un hébergeur change quoi que ce soit ?au final le chiffrage il faudra le calculer, les données supplémentaire il faudra les transmettre... au final il y a plus de travail à fournir en HTTPS qu'en HTTP (plus de travail = plus d’énergie nécessaire), peu importe qui se charge de ça.
Et pourquoi le module de paiement ne serait pas juste lui en HTTPS ? (utile/pas utile au cas par cas...)
on a des autorités pour ça, pas besoin de pourrir l'environnement pour un hypothétique problème pour lequel on a le droit qui gère(ou peut gérer) très bien. Ça c'est typiquement du pas utile;
Pour le sodium j'ai le regret de constater que l'on trouve aujourd'hui un paquet de conseils débiles en HTTPS sur le net
50% comme je le disais (faut aller voir l'ADEME ou le GIEC pour avoir des infos sur ce genre d’études). Et faisant du HTTPS et FTPS sur microcontrôleur je peux garantir que ce 50% n'est pas sur estimé, perso j'aurais dit bien plus que ça vu comme mes équipements sont archis larges sans TLS et au bord de l'explosion en TLS... Pour mes développements embarqués cette surconsommation pose notamment des gros soucis d'autonomie, preuve que ça doit consommer plus (et bien plus que 50% en embarqué puisque plus difficile à optimiser)
c'est malheureusement encore pire que le surcout du HTTPS en effet
si le coiffeur utilise CMS avec comme mot de passe admin/admin, tu aurais tout cela en HTTPS, ça ne change strictement rien...par contre l’authentification en deux étapes est tout aussi efficace en HTTP qu'en HTTPS et ça ne coûte pas un rond.
Si tu veux aller par là, tout est dangereux. Quand on dit "dangereux" dans un contexte informatique, on fait allusion à la sécurité du système, pas à la nature.
D'ailleurs si on voulait pinailler, ce ne serait plutôt néfaste que dangereux.
On peut très simplement justifier HTTPS par la simple notion de vie privée et du principe de secret des communications/échanges.
22ms pour ma connexion, 20ms pour la liaison TLS, 24ms d'attente. Environ 60ms pour le html de la page d'accueil. C'est de l'ordre de la ms.
Le https me fait perdre 80ms sur 400ms, sachant que la moitié, c'est de l'interprétation DOM/JS, je dois pouvoir encore améliorer cela.
Derrière, les autres pages se chargent instantanément.
Bref, c'est rien en terme temps de chargement.
Et ton petit coiffeur n'en a rien à faire, tout ce qui l'importe, c'est que son site soit sécurisé.en quoi que ce soit autohebergé ou hébergé par un hébergeur change quoi que ce soit ?
Qu'il soit en http ou https, si c'est un hackeur qui l'a ajouté en défaçant le site, cela n'a guère d'importance.
C'est bien beau d'invoquer la Justice, mais derrière, le coiffeur subit un préjudice souvent difficilement chiffrable.
Il va avoir des problèmes de réputations, potentiellement des actes de vandalismes, des insultes, l'incompréhension des clients, une potentielle baisse de fréquentation, et si cela ne suffisait pas, potentiellement des frais de Justice/avocat, ainsi que des années de lourdes procédures. Sachant que derrière, on pourra lui objecter une négligeance concernant la sécurité de son site web.
Bref, que de soucis pour pas grand chose.
Sachant que derrière, on ne pourra pas tout passer par du HTTP, donc il faudrait aussi "estimer" le gain potentiel en fonction des sites que vous souhaiteriez voir passer en HTTP.
On frôle le ridicule...
Nan, mais c'est vrai, et si le coiffeur écrit son login/mot de passe en gros sur sa devanture, le HTTPS aussi ne change strictement rien... Donc il faut supprimer le HTTPS de partout, ça sert à rien, CQFD.
Alors ça c'est intelligent.
Donc ton coiffeurs s'authentifie, et ensuite ton hackeur peut faire tout ce qu'il veux en MITM et/ou en volant la connexion.
Sachant qu'on perd par la même occasion tout l'intérêt de l'authentification forte.
Répondre avec citation
Partager