On Sun, Jul 1, 2018, at 20:45, Michel Py wrote: > On peut pas avoir de proxy non plus ? Franchement la différence entre un
Comme FAI, de base non. Il faut que ca soit un service apart. > proxy et un firewall qui fait de l'inspection SSL est pas vraiment Ca depend. Un proxy, de memoire, peut autoriser le SSL en mode aveugle. Ca a comme avantage de ne pas casser la chaine de confiance SSL. > La destination, c'est les yeux de l'utilisateur, pas le PC qui Pour un FAI, techniquement, non. C'est soit un "end-user device" (PC, telephone, whatever) ou un equipement intermediaire (apartenant au client !!!). > L'utilisateur n'a pas le droit d'utiliser le réseau de l'entreprise à > des fins personnelles. Toutes les données qui transitent sur le réseau > de l'entreprise appartiennent à l'entreprise, pas à l'utilisateur. La Certainement pas pour un FAI. Meme pour une entreprise, de ce cote le d'eau j'ai quelques reserves. > partie de l'infrastructure de l'entreprise dans laquelle je choisis de > scanner (et probablement plus qu'une partie), c'est mon choix; que > j'inspecte sur le poste de travail ou sur le firewall, çà ne change > absolument rien à la loi. Par contre ca change definitivement ua resenti utilisateur. Quand tout ce qui est SSL c'est pareil 8 heures par jour, t’étonnes pas si a la maison les memes utilisateurs n'arrivent plus a faire la distinction entre un certif normal, un EV et un "invalide". Tu vas me dire que ce n'est pas ton probleme, mais c'est le mien. Donc si je peux mettre des batons dans les roues a tout le monde qui deploie du "SSL inspection", je vais le faire. SSL = "PAS REGARDER DEDANS". Si toi comme entreprise tu n'est pas d'accord, tu peux bloquer. > Le jour ou tu te feras véroler par quelque chose que tu n'as pas > intercepté parce que tu ne l'as pas scanné, tu changeras d'avis. Par contre, le jour ou tu te feras veroler par quelque-chose que tu as deja scanne mais que l'AV n'a rien detecte, je sais que tu va pas changer d'avis. Moi j'aime vivre "dangereusement" et pour l'instant ca marche pas mal. Par contre je suis d'accord que ce n'est pas applicable a tout le monde. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
