R�ponse qui peut int�resser ici, ou causer des r�actions.
> Quelle est la s�curit� d'un payement on-line ?
S'il est effectu� en `https' avec encryption (Konqueror vous dit quand
vous passez dans ce mode et vous pouvez faire Details; comparez
http://search.alphanet.ch avec la version s�curis�e
https://search.alphanet.ch) il y a garantie que les donn�es entre vous et
le serveur ne sont pas visibles par un tiers ... mais la d�finition de
`serveur' ne correspond pas forc�ment � celui du marchand!
Voyez le petit cadenas.
Par contre il n'y a pas garantie que le serveur est bien celui qu'il
pr�tend. En effet, vous vous connectez peut-�tre ainsi:
vous ------- ordinateur pirate ----- ordinateur marchand
cl� SSL pirate cl� SSL marchand
Vous voyiez donc une fausse cl�, qui sert � pirate � d�chiffrer, puis �
r�enchiffrer pour l'ordinateur marchand. En pratique, pour faire cela il
faut 1. que vous ne v�rifiez pas la cl� du marchand 2. qu'un ordinateur ou
routeur sur le chemin ait �t� pirat�.
Comment �tre s�r ?
-> la seule fa�on est de v�rifier le `fingerprint' de la cl� SSL
du serveur
-> on peut aussi faire confiance � une autorit� de certification
mais je ne le ferais pas.
(PS: pour la Suisse, Swisskey a fait faillite, mais:
http://www.igtop.ch)
[ dans mon cas je n'ai rien pay�, donc mon certificat de
search.alphanet.ch est reconnu par Netscape avec un warning
]
Notez que si votre machine ou la machine du serveur est compromise par un
pirate, SSL ne sert � rien. La plupart des piratages l'ont �t� d'ailleurs
sur le serveur.
> Doit-on configurer son navigateur (konqueror) de fa�on particuli�re ?
Non. La seule critique que je ferais � l'encontre de Konqueror c'est qu'il
ne permet pas de v�rifier le `fingerprint' (r�sum�) de la cl� SSL:
op�ration que l'on devrait faire � chaque fois.
Netscape permet de v�rifier ce fingerprint, et avertit si cette cl�
change (ce qui signifie: serveur a chang� sa cl�, ou piratage par
machine interceptrice comme ci-dessus).
On peut aussi critiquer Yellownet qui ne donne pas cette fingerprint dans
son courrier officiel ni un moyen de la v�rifier (autre que de se
connecter une fois et de le v�rifier manuellement par la suite).
> Existe-t-il un service qui effectue, sur mandat ou � la commission, l'achat
> on-line pour de tierces personnes ?
Je n'en connais pas.
NB: si vous commandez par carte de cr�dit, v�rifiez attentivement vos
relev�s, et faites opposition si n�cessaire! A mon avis c'est suffisant.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se d�sabonner aussi.
